Hackers usando um recurso do sistema operacional Windows para fugir do firewall e ganhar previlégios

Uma nova técnica adotada por invasores encontra maneiras de usar o Serviço de transferência inteligente de plano de fundo (BITS) da Microsoft para implantar códigos maliciosos em máquinas Windows.

Em 2020, hospitais e centros médicos sofreram o impacto de uma campanha de phishing em constante mudança que distribuiu backdoors personalizados como o KEGTAP, que acabou abrindo caminho para ataques de ransomware RYUK.

Mas uma nova pesquisa revelou agora um mecanismo de persistência até então desconhecido, que mostra que os adversários usaram o BITS para iniciar o backdoor.

Introduzido no Windows XP, o BITS é um componente do Microsoft Windows, que faz uso da largura de banda da rede ociosa para facilitar a transferência assíncrona de arquivos entre máquinas. Isso é obtido através da criação de um contêiner que inclui os arquivos para download ou upload.

O BITS é comumente usado para fornecer atualizações do sistema operacional aos clientes, bem como pelo verificador antivírus do Windows Defender para buscar atualizações de assinaturas de malware. Além dos próprios produtos da Microsoft, o serviço também é usado por outros aplicativos, como o Mozilla Firefox, para permitir que os downloads continuem em segundo plano, mesmo quando o navegador é fechado.

Quando aplicativos maliciosos criam os BITS, os arquivos são baixados ou carregados no contexto do processo de host do serviço, disseram os pesquisadores. Isso pode ser útil para evitar firewalls que podem bloquear processos maliciosos ou desconhecidos e ajuda a ocultar qual aplicativo solicitou a transferência.

Especificamente, os incidentes pós-comprometimento envolvendo infecções de Ryuk foram encontrados para alavancar o serviço BITS para criar um novo trabalho como uma “atualização do sistema” que foi configurado para iniciar um executável chamado “mail.exe”, que por sua vez acionou o backdoor KEGTAP, depois de tentar baixar um URL inválido.

O trabalho malicioso do BITS foi configurado para tentar uma transferência HTTP de um arquivo inexistente do host local, observaram os pesquisadores.” Como esse arquivo nunca existiria, o BITS acionaria o estado de erro e iniciaria o comando de notificação, que neste caso era KEGTAP.

O novo mecanismo é mais um lembrete de como uma ferramenta útil como o BITS pode ser reaproveitada por invasores em seu próprio benefício. Para ajudar na resposta a incidentes e investigações forenses, os pesquisadores também disponibilizaram um utilitário Python chamado BitsParser, que visa analisar arquivos de banco de dados BITS e extrair informações de trabalho e arquivo para análise adicional.

Referências

https://thehackernews.com/2021/04/hackers-using-windows-os-feature-to.html

https://www.fireeye.com/blog/threat-research/2020/10/kegtap-and-singlemalt-with-a-ransomware-chaser.html

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2021. Todos os direitos reservados.