Tin tặc bị bắt bằng cách sử dụng Windows 10 BITS để vượt tường lửa để tấn công

Dịch vụ truyền tải thông minh nền , còn được gọi là BITS , là một trong những tính năng cốt lõi của hệ điều hành Windows. Nó hỗ trợ Hệ điều hành sử dụng băng thông mạng nhàn rỗi để tải xuống các tệp cần thiết. Giờ đây, các báo cáo cho rằng tin tặc đang cố gắng sử dụng tính năng BITS để tải tải trọng độc hại xuống hệ thống Windows bằng cách trốn tránh sự bảo vệ của tường lửa.

Những kẻ tấn công sử dụng Windows BITS

Kỹ thuật hack mới hoạt động vì các hoạt động được thực hiện thông qua vùng chứa công việc BITS có thể không bị giám sát Tường lửa của Windows. Bộ phận pháp y mạng Mandiant của FireEye đã phát hiện ra điều này trong quá trình phân tích một số cuộc tấn công vào năm ngoái.

Đặc biệt, các nhà nghiên cứu tại FireEye đã xem xét một chiến dịch lừa đảo đã ảnh hưởng đến các bệnh viện và trung tâm y tế vào năm 2020. Chiến dịch này đã cài đặt một cửa sau tùy chỉnh trên các hệ thống bị nhiễm và cuộc tấn công ransomware RYUK sau đó đã sử dụng chính điều đó để xâm nhập vào PC. Nghiên cứu mới chỉ ra rằng tin tặc cũng có thể đã sử dụng tính năng BITS để tải xuống tải trọng cho cuộc tấn công ransomware.

Nghiên cứu cho biết thêm rằng tin tặc đã thiết kế phần mềm độc hại này để sử dụng BITS dưới sự ngụy trang kỹ càng. Thay vì tạo một quy trình mới, nó đã sử dụng các quy trình lưu trữ để tải xuống tải trọng từ các trang web độc hại. Phương pháp này cũng ngăn tường lửa xem xét nội dung của các bản tải xuống.

Các nhà nghiên cứu FireEye bao gồm trong tuyên bố của họ rằng những kẻ tấn công RYUK ransomware đã sử dụng BITS để giữ liên lạc với các hệ thống bị nhiễm. Nó cho thấy rằng quyết định sử dụng BITS cho các cuộc tấn công đã được nhóm nghĩ ra và thử nghiệm. Trong trường hợp cụ thể này, những kẻ tấn công đã thiết lập BITS để tải xuống một tệp không xác định từ máy chủ cục bộ của hệ thống.

Sau đó, nó khởi chạy backdoor KEGTAP, cho phép bên trong các phần tử ransomware. Không rõ liệu những kẻ tấn công có sử dụng các đặc quyền được cấp cho BITS để trốn tránh các tính năng bảo mật khác của Windows hay không. Xem xét rằng BITS đã là một phần của hệ điều hành Windows kể từ XP, đó là một kịch bản có thể xảy ra.

Microsoft vẫn chưa phản hồi về những phát hiện này từ FireEye , nhưng họ dự kiến ​​sẽ làm như vậy từ rất sớm. Tuy nhiên, cho đến lúc đó, người dùng có thể tin tưởng vào tiện ích BitsParser do FireEye phát hành. Tiện ích dựa trên Python này sẽ ngăn những kẻ tấn công thao túng cơ sở dữ liệu BITS với thông tin việc làm giả mạo / không tồn tại.