Microsoft Windows: Hackers usam o Serviço de Transferência Inteligente de Fundo (BITS)

Uma nova técnica adotada pelos hackers encontra maneiras de usar o Bits (Background Intelligent Transfer Service, Serviço de Transferência Inteligente de Fundo) da Microsoft, de modo a implantar cargas maliciosas em máquinas Windows furtivamente.

Sobre o BITS

A Microsoft introduziu o Bits (Background Intelligent Transfer Service ou serviço de transferência inteligente em segundo plano) com o Windows XP para simplificar e coordenar o download e o upload de arquivos grandes. Aplicativos e componentes do sistema, mais notavelmente o Windows Update, usam BITS para fornecer atualizações de sistema operacional e aplicativos para que possam ser baixados com interrupção mínima do usuário.
O BITS é comumente usado para fornecer atualizações do sistema operacional aos clientes, bem como pelo scanner antivírus Do Windows Defender para obter atualizações de assinatura de malware. Além dos produtos próprios da Microsoft, o serviço também é utilizado por outros aplicativos, como o Mozilla Firefox, para permitir que os downloads continuem em segundo plano mesmo quando o navegador estiver fechado.

Em 2020, hospitais, comunidades de aposentados e centros médicos suportaram o peso de uma campanha de phishing em mudança que distribuiu backdoors personalizados, como o KEGTAP, que finalmente abriu caminho para ataques de ransomware RYUK.

Mas uma nova pesquisa do braço forense cibernético Mandiant do FireEye revelou agora um mecanismo de persistência até então desconhecido que mostra que os adversários fizeram uso do BITS para lançar o backdoor.

“Quando aplicativos maliciosos criam trabalhos utilizando o bits, os arquivos são baixados ou carregados no contexto do processo de host de serviço”, disseram os pesquisadores do FireEye. “Isso pode ser útil para evitar firewalls que podem bloquear processos maliciosos ou desconhecidos, e ajuda a obscurecer qual aplicativo solicitou a transferência.”

Especificamente, os incidentes pós-comprometimento envolvendo infecções por Ryuk foram encontrados para aproveitar o serviço BITS para criar um novo trabalho como uma “atualização do sistema” que foi configurada para lançar um executável chamado “mail.exe”, que por sua vez acionou o , depois de tentar baixar uma URL inválida.

“O trabalho malicioso do BITS foi definido para tentar uma transferência HTTP de um arquivo inexistente do localhost, observaram os pesquisadores. Como este arquivo nunca existiria, o BITS acionaria o estado de erro e iniciaria o comando de notificação, que neste caso era KEGTAP.”

O novo mecanismo é mais um lembrete de como uma ferramenta útil como o BITS pode ser reaproveitada pelos atacantes a seu próprio benefício. Para ajudar na resposta a incidentes e investigações forenses, os pesquisadores também disponibilizaram um utilitário Python chamado BitsParser que visa analisar arquivos de banco de dados BITS e extrair informações de trabalho e arquivo para análise adicional.

Fonte: Back in a Bit: Attacker Use of the Windows Background Intelligent Transfer Service | FireEye Inc

Curta, comente e compartilhe.

Veja também: Hacking Remoto: Apple lança patch para bug de afetando bilhões de seus dispositivos