Una técnica novedosa adoptada por los atacantes encuentra formas de usar el Servicio de transferencia inteligente en segundo plano (BITS) de Microsoft para implementar cargas maliciosas en máquinas Windows de forma sigilosa.
En 2020, los hospitales, las comunidades de jubilados y los centros médicos fueron los más afectados por una campaña de phishing en constante cambio que distribuyó puertas traseras personalizadas como KEGTAP, que finalmente allanó el camino para los ataques de ransomware RYUK.
Pero una nueva investigación realizada por el brazo forense cibernético Mandiant de FireEye ahora ha revelado un mecanismo de persistencia previamente desconocido que muestra que los adversarios usaron BITS para lanzar la puerta trasera.
Introducido en Windows XP, BITS es un componente de Microsoft Windows, que utiliza el ancho de banda inactivo de la red para facilitar la transferencia asíncrona de archivos entre máquinas. Esto se logra creando un trabajo, un contenedor que incluye los archivos para descargar o cargar.
BITS se usa comúnmente para entregar actualizaciones del sistema operativo a los clientes, así como el escáner antivirus de Windows Defender para obtener actualizaciones de firmas de malware. Además de los propios productos de Microsoft, otras aplicaciones como Mozilla Firefox también utilizan el servicio para permitir que las descargas continúen en segundo plano, incluso cuando el navegador está cerrado.
«Cuando las aplicaciones maliciosas crean trabajos BITS, los archivos se descargan o cargan en el contexto del proceso de host del servicio», dijeron los investigadores de FireEye. «Esto puede ser útil para evadir cortafuegos que pueden bloquear procesos maliciosos o desconocidos, y ayuda a ocultar qué aplicación solicitó la transferencia».
Específicamente, se descubrió que los incidentes posteriores al compromiso relacionados con las infecciones de Ryuk aprovecharon el servicio BITS para crear un nuevo trabajo como una «Actualización del sistema» que se configuró para iniciar un ejecutable llamado «mail.exe», que a su vez activó la puerta trasera KEGTAP, después de intentar descargar una URL no válida.
«El trabajo BITS malicioso se configuró para intentar una transferencia HTTP de un archivo inexistente desde el host local, señalaron los investigadores». Como este archivo nunca existiría, BITS activaría el estado de error y ejecutaría el comando de notificación, que en este caso era KEGTAP. . «
El nuevo mecanismo es otro recordatorio de cómo los atacantes pueden reutilizar una herramienta útil como BITS para su propio beneficio. Para ayudar en la respuesta a incidentes y las investigaciones forenses, los investigadores también han puesto a disposición una utilidad de Python llamada BitsParser que tiene como objetivo analizar los archivos de la base de datos BITS y extraer información de trabajos y archivos para un análisis adicional.
