Hacker nutzen eine Funktion des Windows-Betriebssystems, um die Firewall zu umgehen und Persistenz zu erlangen

Cyber Security News

Eine neuartige Technik, die von Angreifern eingesetzt wird, nutzt Microsofts Background Intelligent Transfer Service (BITS), um heimlich bösartige Nutzdaten auf Windows-Rechnern zu verteilen.

Im Jahr 2020 waren Krankenhäuser, Altenheime und medizinische Zentren die Hauptleidtragenden einer Phishing-Kampagne, die benutzerdefinierte Hintertüren wie KEGTAP verbreitete, was letztlich den Weg für RYUK-Ransomware-Angriffe ebnete.

Neue Untersuchungen der Cyber-Forensik-Abteilung Mandiant von FireEye haben nun aber einen bisher unbekannten Persistenz-Mechanismus aufgedeckt, der zeigt, dass die Angreifer BITS nutzten, um die Backdoor zu starten.

BITS wurde in Windows XP eingeführt und ist eine Komponente von Microsoft Windows, die ungenutzte Netzwerkbandbreite nutzt, um die asynchrone Übertragung von Dateien zwischen Rechnern zu erleichtern. Dies wird erreicht, indem ein Job erstellt wird – ein Container, der die Dateien enthält, die herunter- oder hochgeladen werden sollen.

BITS wird häufig verwendet, um Betriebssystem-Updates an Clients zu liefern, sowie vom Antiviren-Scanner Windows Defender, um Malware-Signatur-Updates zu holen. Neben Microsofts eigenen Produkten wird der Dienst auch von anderen Anwendungen wie Mozilla Firefox genutzt, um Downloads im Hintergrund fortzusetzen, auch wenn der Browser geschlossen ist.

[Blocked Image: https://thehackernews.com/images/-S-5RSiYZJoE/YGWA1gVPN3I/AAAAAAAACJg/o1mQEgPsSs0AGvwmgtFhx10kjRvJUii9ACLcBGAsYHQ/s0/malware.jpg]

“Wenn bösartige Anwendungen BITS-Jobs erstellen, werden Dateien im Kontext des Prozesses des Diensthosts herunter- oder hochgeladen”, so die FireEye-Forscher. “Dies kann nützlich sein, um Firewalls zu umgehen, die möglicherweise bösartige oder unbekannte Prozesse blockieren, und es hilft, zu verschleiern, welche Anwendung die Übertragung angefordert hat.”

Konkret wurde festgestellt, dass die Vorfälle mit Ryuk-Infektionen nach der Kompromittierung den BITS-Dienst nutzen, um einen neuen Auftrag als “System-Update” zu erstellen, der so konfiguriert war, dass er eine ausführbare Datei namens “mail.exe” startete, die wiederum die KEGTAP-Backdoor auslöste, nachdem sie versucht hatte, eine ungültige URL herunterzuladen.

“Der bösartige BITS-Job war so eingestellt, dass er eine HTTP-Übertragung einer nicht existierenden Datei vom localhost versuchte”, so die Forscher. “Da diese Datei niemals existieren würde, würde BITS den Fehlerzustand auslösen und den Notify-Befehl starten, der in diesem Fall KEGTAP war.”

Der neue Mechanismus ist ein weiterer Hinweis darauf, wie ein nützliches Tool wie BITS von Angreifern zu ihrem eigenen Vorteil umfunktioniert werden kann. Um die Reaktion auf Vorfälle und forensische Untersuchungen zu unterstützen, haben die Forscher auch ein Python-Dienstprogramm namens BitsParser zur Verfügung gestellt, das BITS-Datenbankdateien analysieren und Job- und Dateiinformationen für zusätzliche Analysen extrahieren soll.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com