Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Хакеры обходят межсетевые экраны с помощью функции Windows

02/04/21

Windows hack4-1

Киберпреступники научились использовать легитимный компонент операционной системы Windows под названием Background Intelligent Transfer Service (BITS) для скрытой установки на нее вредоносного ПО.

В 2020 году больницы, медицинские центры и дома престарелых страдали от постоянно меняющейся фишинговой кампании, в ходе которой распространялся бэкдор KEGTAP, открывавший путь для атак вымогательского ПО Ryuk. Недавно специалисты FireEye Mandiant обнаружили ранее неизвестный механизм, позволяющий KEGTAP сохранять персистентность с помощью компонента BITS.

Впервые представленный в Windows XP компонент BITS представляет собой фоновую интеллектуальную службу передачи файлов между клиентом и HTTP-сервером, которая задействует неиспользуемую часть пропускной способности сети. BITS обычно используется для доставки обновлений операционной системы клиентам. Кроме того, он используется антивирусным сканером Windows Defender для получения обновлений сигнатур вредоносных программ. Помимо собственных продуктов Microsoft, сервис также используется другими приложениями, такими как Mozilla Firefox, чтобы загрузка продолжалась в фоновом режиме, даже когда браузер закрыт.

«Когда вредоносные приложения создают задания BITS, файлы загружаются или выгружаются в контексте процесса хоста службы. Это может быть полезно для обхода межсетевых экранов, которые могут блокировать вредоносные или неизвестные процессы, а также для сокрытия того, какое приложение запросило трансфер», - сообщили в FireEye Mandiant.

На уже скомпрометированные системы загружается вымогательское ПО Ryuk, использующее BITS для создания нового задания в качестве System update, настроенного для запуска исполняемого файла mail.exe, который в свою очередь запускает бэкдор KEGTAP после попытки загрузить недействительный URL-адрес.

Как отметили исследователи, вредоносное задание BITS было настроено на передачу по HTTP несуществующего файла с локального хоста.

«Поскольку этот файл никогда не будет существовать, BITS вызовет состояние ошибки и запустит команду уведомления, которой в данном случае был KEGTAP», - пояснили в FireEye.

Темы:WindowsУгрозыфишингмежсетевые экраны
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Импортозамещение необходимо, но проводить его нужно без паники
    Сергей Панов, заместитель генерального директора, АО “ЭЛВИС-ПЛЮС”
    Даже если все начинается с ажиотажного спроса, то дальше, как показывает опыт, процесс должен идти обычным чередом
  • Межсетевой экран UserGate X1 для защиты АСУ ТП и IIoT
    Иван Чернов, Менеджер партнерского отдела UserGate
    Комплексное решение для защиты промышленных объектов от атак

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...