Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Хакеры обходят межсетевые экраны с помощью функции Windows

02/04/21

Windows hack4-1

Киберпреступники научились использовать легитимный компонент операционной системы Windows под названием Background Intelligent Transfer Service (BITS) для скрытой установки на нее вредоносного ПО.

В 2020 году больницы, медицинские центры и дома престарелых страдали от постоянно меняющейся фишинговой кампании, в ходе которой распространялся бэкдор KEGTAP, открывавший путь для атак вымогательского ПО Ryuk. Недавно специалисты FireEye Mandiant обнаружили ранее неизвестный механизм, позволяющий KEGTAP сохранять персистентность с помощью компонента BITS.

Впервые представленный в Windows XP компонент BITS представляет собой фоновую интеллектуальную службу передачи файлов между клиентом и HTTP-сервером, которая задействует неиспользуемую часть пропускной способности сети. BITS обычно используется для доставки обновлений операционной системы клиентам. Кроме того, он используется антивирусным сканером Windows Defender для получения обновлений сигнатур вредоносных программ. Помимо собственных продуктов Microsoft, сервис также используется другими приложениями, такими как Mozilla Firefox, чтобы загрузка продолжалась в фоновом режиме, даже когда браузер закрыт.

«Когда вредоносные приложения создают задания BITS, файлы загружаются или выгружаются в контексте процесса хоста службы. Это может быть полезно для обхода межсетевых экранов, которые могут блокировать вредоносные или неизвестные процессы, а также для сокрытия того, какое приложение запросило трансфер», - сообщили в FireEye Mandiant.

На уже скомпрометированные системы загружается вымогательское ПО Ryuk, использующее BITS для создания нового задания в качестве System update, настроенного для запуска исполняемого файла mail.exe, который в свою очередь запускает бэкдор KEGTAP после попытки загрузить недействительный URL-адрес.

Как отметили исследователи, вредоносное задание BITS было настроено на передачу по HTTP несуществующего файла с локального хоста.

«Поскольку этот файл никогда не будет существовать, BITS вызовет состояние ошибки и запустит команду уведомления, которой в данном случае был KEGTAP», - пояснили в FireEye.

Темы:WindowsУгрозыфишингмежсетевые экраны
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...