黑客使用Windows操作系统功能来逃避防火墙并获得持久性

攻击者采用的一种新技术找到了使用微软后台智能传输服务（BITS）的方法，以便在Windows计算机上秘密部署恶意有效负载。

2020年，医院、退休社区和医疗中心首当其冲地受到不断变化的网络钓鱼活动的冲击，该活动分发了KEGTAP等定制后门，最终为RYUK勒索软件攻击铺平了道路。

但FireEye的Mandiant网络取证部门的最新研究现在揭示了一种以前未知的持久性机制，表明对手利用BITS来启动后门。

BITS是在Windows XP中引入的，是Microsoft Windows的一个组件，它利用空闲的网络带宽来促进机器之间的文件异步传输。这是通过创造就业机会来实现的—；包含要下载或上载的文件的容器。

BITS通常用于向客户端提供操作系统更新，以及由Windows Defender antivirus scanner获取恶意软件特征更新。除了微软自己的产品外，Mozilla Firefox等其他应用程序也可以使用这项服务，即使浏览器关闭，也可以在后台继续下载。

FireEye研究人员说：“当恶意应用程序创建BITS作业时，文件会在服务主机进程的上下文中下载或上传。”。“这有助于避开可能阻止恶意或未知进程的防火墙，并有助于隐藏请求传输的应用程序。”

具体而言，涉及Ryuk感染的泄露后事件被发现利用BITS服务创建一个新作业作为“系统更新”，该作业被配置为启动名为“mail.exe”的可执行文件，在尝试下载无效URL后，该文件反过来触发了KEGTAP后门。

“恶意BITS作业被设置为尝试从本地主机对不存在的文件进行HTTP传输，研究人员指出。”由于该文件永远不存在，BITS将触发错误状态并启动notify命令，在本例中为KEGTAP。"

这一新机制再次提醒我们，像BITS这样的有用工具是如何被攻击者重新利用以获得自身优势的。为了帮助事件响应和法医调查，研究人员还提供了一个名为BitsParser的Python实用程序，旨在解析BITS数据库文件，提取作业和文件信息以进行额外分析。