Microsoft Windows: Hackers usam o Serviço de Transferência Inteligente de Fundo (BITS)

Microsoft Windows: Hackers usam o Serviço de Transferência Inteligente de Fundo (BITS)

1 comentário 33,7K visualizações

Uma nova técnica adotada pelos hackers encontra maneiras de usar o Bits (Background Intelligent Transfer Service, Serviço de Transferência Inteligente de Fundo) da Microsoft, de modo a implantar cargas maliciosas em máquinas Windows furtivamente.

Sobre o BITS

A Microsoft introduziu o Bits (Background Intelligent Transfer Service ou serviço de transferência inteligente em segundo plano) com o Windows XP para simplificar e coordenar o download e o upload de arquivos grandes. Aplicativos e componentes do sistema, mais notavelmente o Windows Update, usam BITS para fornecer atualizações de sistema operacional e aplicativos para que possam ser baixados com interrupção mínima do usuário.
O BITS é comumente usado para fornecer atualizações do sistema operacional aos clientes, bem como pelo scanner antivírus Do Windows Defender para obter atualizações de assinatura de malware. Além dos produtos próprios da Microsoft, o serviço também é utilizado por outros aplicativos, como o Mozilla Firefox, para permitir que os downloads continuem em segundo plano mesmo quando o navegador estiver fechado.

Em 2020, hospitais, comunidades de aposentados e centros médicos suportaram o peso de uma campanha de phishing em mudança que distribuiu backdoors personalizados, como o KEGTAP, que finalmente abriu caminho para ataques de ransomware RYUK.

Mas uma nova pesquisa do braço forense cibernético Mandiant do FireEye revelou agora um mecanismo de persistência até então desconhecido que mostra que os adversários fizeram uso do BITS para lançar o backdoor.

“Quando aplicativos maliciosos criam trabalhos utilizando o bits, os arquivos são baixados ou carregados no contexto do processo de host de serviço”, disseram os pesquisadores do FireEye. “Isso pode ser útil para evitar firewalls que podem bloquear processos maliciosos ou desconhecidos, e ajuda a obscurecer qual aplicativo solicitou a transferência.”

Especificamente, os incidentes pós-comprometimento envolvendo infecções por Ryuk foram encontrados para aproveitar o serviço BITS para criar um novo trabalho como uma “atualização do sistema” que foi configurada para lançar um executável chamado “mail.exe”, que por sua vez acionou o , depois de tentar baixar uma URL inválida.

“O trabalho malicioso do BITS foi definido para tentar uma transferência HTTP de um arquivo inexistente do localhost, observaram os pesquisadores. Como este arquivo nunca existiria, o BITS acionaria o estado de erro e iniciaria o comando de notificação, que neste caso era KEGTAP.”

O novo mecanismo é mais um lembrete de como uma ferramenta útil como o BITS pode ser reaproveitada pelos atacantes a seu próprio benefício. Para ajudar na resposta a incidentes e investigações forenses, os pesquisadores também disponibilizaram um utilitário Python chamado BitsParser que visa analisar arquivos de banco de dados BITS e extrair informações de trabalho e arquivo para análise adicional.

Fonte: Back in a Bit: Attacker Use of the Windows Background Intelligent Transfer Service | FireEye Inc

Curta, comente e compartilhe.

Veja também: Hacking Remoto: Apple lança patch para bug de afetando bilhões de seus dispositivos

1 comentário

Hacking Remoto: Apple lança patch para bug de afetando bilhões de seus dispositivos - O Cara Do TI 1 de abril de 2021 - 23:53

[…] Veja também: Microsoft Windows: Hackers usam o Serviço de Transferência Inteligente de Fundo (BITS) […]

Resposta

Deixe um Comentário

Sobre nós

O Cara do TI é um projeto voltado ao compartilhamento de notícias, resolução de problemas, reviews, games, filmes e tudo o que envolve o mundo da tecnologia.

Newsletter

Subscribe my Newsletter for new blog posts, tips & new photos. Let's stay updated!

© Copyright 2023 O Cara do TI® | Todos os direitos reservados

O Cara do TI
-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00

Adblock Detected

Por favor, nos apoie desativando sua extensão AdBlocker de seus navegadores para nosso site. Nosso site depende das propagandas para se manter vivo. Contamos com sua colaboração