کمیته رکن چهارم – یک تکنیک جدید که توسط مهاجمان اتخاذ شده است، روشهایی را برای استفاده ازMicrosoft Intelligent Transfer Transfer Service (BITS) به منظور استقرار فایلهای مخرب بر روی دستگاههای ویندوز به طور مخفی پیدا میکند.
در سال ۲۰۲۰، بیمارستانها، انجمنهای بازنشستگی و مراکز درمانی خسارتهایی از یک فعالیت فیشینگ که درهای پشتی سفارشی مانند KEGTAP را توزیع میکرد، متحمل شدند، که در نهایت زمینه حملات باج افزار RYUK را فراهم کرد.
تحقیقات جدید اکنون مکانیسم پایداری ناشناختهای را نشان داده است که نشان میدهد مهاجمان برای راه اندازی درب پشتی از BITS استفاده کردهاند. BITS در ویندوز XP معرفی شده است. یکی از اجزای مایکروسافت ویندوز است که از پهنای باند شبکه برای تسهیل در انتقال ناهمگام پروندهها بین ماشینها استفاده میکند.
BITS معمولاً برای ارائه به روزرسانیهای سیستم عامل به مشتریان و همچنین توسط اسکنر آنتی ویروس Windows Defender برای واکشی به روزرسانیهای امضای بدافزار استفاده میشود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامههای دیگری مانند Mozilla Firefox نیز استفاده میشود تا امکان بارگیری در پس زمینه حتی در صورت بسته بودن مرورگر فراهم شود.
به گفته محققان: وقتی برنامههای مخرب برای BITS ایجاد میشود، پروندهها در چارچوب روند خدمات میزبان بارگیری یا بارگذاری میشوند. این کار میتواند برای جلوگیری از فایروالهایی که ممکن است پروسههای مخرب یا ناشناخته را مسدود کنند مفید باشد و به شما کمک میکند بفهمید که کدام برنامه درخواست انتقال داده است.
به طور خاص، مشخص شد که حوادث پس از خرابی توسط Ryuk از سرویس BITS برای ایجاد شغل جدید به عنوان “بروزرسانی سیستم” استفاده شده است که برای راهاندازی یک برنامه اجرایی با نام “mail.exe” پیکربندی شده است، که به نوبه خود باعث ایجاد درپشتی KEGTAP میشود.
محققان اظهار داشتند: کار مخرب BITS برای تلاش برای انتقال HTTP یک پرونده موجود از localhost تنظیم شده است. از آنجا که این پرونده هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا میکند، که در این مورد از KEGTAP استفاده کرده بود.
محققان برای کمک به پاسخگویی به حوادث و تحقیقات قانونی، یک ابزار پایتون به نام BitsParser در دسترس قرار دادهاند که هدف آن تجزیه پروندههای پایگاه داده BITS و استخراج اطلاعات کار و پرونده برای تجزیه و تحلیل بیشتر است.
منبع: پایگاه اطلاعرسانی پلیس فتا
