Hacker lợi dụng tính năng của hệ điều hành Windows để vượt qua tường lửa và chiếm Persistence.



Một thủ thuật mới được những hacker áp dụng là tìm cách sử dụng Microsoft Background Intelligent Transfer Service (BITS) của Microsoft để triển khai các Payload độc hại trên những thiết bị Windows một cách lén lút.

Vào năm 2020, các bệnh viện, cộng đồng hưu trí và trung tâm y tế phải gánh chịu gánh nặng của một Ever-shifting phishing campaign nhằm phân phối các Backdoor tùy chỉnh như KEGTAP, cuối cùng đã mở đường cho các cuộc RYUK Ransomware attacks.

Nhưng nghiên cứu mới của FireEye Mandiant Cyber Forensics Arm hiện đã tiết lộ một Persistence chưa rõ nguồn gốc đã cho thấy rõ ràng rằng hacker đã sử dụng BITS để khởi chạy Backdoor.

Được giới thiệu trong Windows XP, BITS là một phần của Microsoft Windows, sử dụng Idle network bandwidth để tạo điều kiện cho việc truyền tệp không đồng bộ giữa các máy. Điều này đạt được bằng cách tạo jobs – một vùng chứa bao gồm các tệp để tải xuống hoặc tải lên.

BITS thường được sử dụng để cung cấp các bản cập nhật hệ điều hành cho máy Clients cũng như bởi trình quét chống vi-rút của  Windows Defender để tìm nạp các dấu hiệu đặc trưng của phiên bản cập nhật malware. Bên cạnh các sản phẩm của Microsoft, dịch vụ này cũng được đưa vào sử dụng bởi các ứng dụng khác như Mozilla Firefox để cho phép tải xuống tiếp tục ở chế độ nền ngay cả khi trình duyệt bị đóng.

Các nhà nghiên cứu của FireEye cho biết: “Khi các malware tạo ra các BITS jobs, các tệp được tải xuống hoặc tải lên trong bối cảnh của quy trình service host,” các nhà nghiên cứu của FireEye cho biết. “Điều này có thể hữu ích để tránh các tường lửa có thể chặn các quy trình độc hại hoặc không xác định và nó giúp che khuất được ứng dụng nào đã yêu cầu chuyển.”

Cụ thể, các sự cố sau khi bị xâm phạm liên quan đến việc bị nhiễm Ryuk đã được phát hiện là lạm dụng BITS services để tạo một jobs mới dưới  “System update” được định cấu hình để khởi chạy tệp có tên là executable file “mail.exe,” từ đó kích hoạt backdoor KEGTAP, sau khi cố gắng tải xuống một URL không hợp lệ.

“Công việc BITS độc hại được thiết lập để cố gắng chuyển HTTP của một tệp không tồn tại từ localhost, các nhà nghiên cứu lưu ý.” Vì tệp này sẽ không bao giờ tồn tại, BITS sẽ kích hoạt trạng thái lỗi và khởi chạy lệnh thông báo, trong trường hợp này là KEGTAP . ”

Cơ chế mới là một lời nhắc nhở khác về cách một công cụ hữu ích như BITS có thể bị những hacker sử dụng lại để tạo lợi thế cho chúng. Để hỗ trợ ứng phó sự cố và điều tra, các nhà nghiên cứu cũng đã cung cấp một tiện ích Python có tên BitsParser nhằm mục đích phân tích cú pháp các tệp cơ sở dữ liệu BITS và trích xuất thông tin công việc và tệp để phân tích bổ sung.

nguồn : thehackernews



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật