BITS Jobs تهدیدی که باید شناخت

No comments

طبق مدل ATT&CK که از سوی MITRE برای تحلیل حملات پیشرفته سایبری ابداع شده است در مرحله سوم یعنی پس از دسترسی اولیه و مرحله اجرای کد مخرب ، مرحله تحکیم دسترسی قراردارد.

🕸در این مرحله طبق جدول ارایه شده در سایت MITRE ، چندین تکنیک استفاده میشود که یکی ازآنها BITS Jobs است .

🦑با کمک از این خصوصیت که یکی از خصوصیات ویندوز های مدرن است ، هکر دسترسی خودرا تضمین میکند

🐬حال BITS Jobs چیست ؟

Windows Background Intelligent Transfer Service ( BITS)

مکانیسم انتقال فایل با پهنای باند مصرفی پایین در ویندوز از طریق COM است. این روش معمولا توسط پیغام رسانها، به روز رسانها و سایر برنامه ها که نیاز به کار در Background دارند مورد استفاده قرار میگیرد. این انتقال با در نظر گرفتن حداقل پهنای باند و با اعمال queue انجام میگردد تا کمترین خللی در کار کاربر ویندوز ایجاد نماید.

📪برای ایجاد جاب های BITS از پاورشل و BITSAdmin استفاده میشود .

🏮بدخواهان با استفاده از این ابزار ویندوز ، نسبت به دانلود ، اجرای بد افزار ها و حتی ثابت نمودن حضور خود در کامپیوتر قربانی اقدام مینمایند.

🔑جاب های BITS از فایروال ویندوز عبور میکنند و در رجیستری تغییری ایجاد نمیکنند!!

🧲 هکر از BITS برای تخلیه اطلاعات رایانه نیز استفاده میکند.

👆👆🚧راههای جلوگیری از موارد فوق :

ترافیک هاست را با رولهای فایروال مدیریت کنید

در رفرنس های مایکروسافت ببینید که کلید های رجیستری مرتبط با جاب های BITS چگونه مدیریت میشوند

استفاده از BITS ها را به گروه یا کاربر خاصی محدود کنید

👆👆یکی از استفاده کنندگان از روش تشریح شده در پستهای فوق برای نفوذ، یک گروه هکری چینی است که در مقاله زیر از FireEye میبینید چطور از BITS در مراحلی از حملاتش استفاده میکند

https://www.fireeye.com/blog/threat-research/2018/03/suspected-chinese-espionage-group-targeting-maritime-and-engineering-industries.html

پیرو بحث نفوذ از طریق BITS :
در سایت سمینتک ببینید تجربه افراد را در زمینه الودگی به بد افزار هایی که از طریق BITS منتشر میشدند

https://www.symantec.com/connect/blogs/malware-update-windows-update

نظر سنز در مورد نحوه کشف BITS در ترافیک های سازمان

با توجه به استفاده از User Agent زیر ، ترافیک های BITS قابل تشخیص هستند
🚨Microsoft BITS/x.x

جزییات در لینک زیر :

https://isc.sans.edu/forums/diary/Investigating+Microsoft+BITS+Activity/23281

رول اسنورت برای کشف ترافیک های BITS

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (sid:xxx; gid:1; flow:established,to_server; content:” Microsoft BITS “; http_header; fast_pattern:only; pcre:”/^User\x2dAgent\x3a\x20[^\r\n]* Microsoft BITS/Hm”; metadata:service http; msg:”BLACKLIST User-Agent known malicious user-agent string Microsoft BITS/x.x “; classtype:network exfil; rev:1; )

اگر بد افزاری را پاک کردید دنبال جاب های BITS باشید

https://www.infoworld.com/article/3080544/check-your-bits-because-deleting-malware-might-not-be-enough.html

دستوراتی بدخواهانه برای سوء استفاده از BITS

❇کامند لاین
bitsadmin.exe /transfer /Download /priority Foreground https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md %TEMP%\bitsadmin_flag.ps1

✳پاورشل

Start-BitsTransfer -Priority foreground -Source https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1197/T1197.md -Destination $env:TEMP\AtomicRedTeam\bitsadmin_flag.ps1

@roozbeh_learning
www.roozbeh.academy
کشف این نوع حملات در مقیاس سازمانی نیاز به EDRو SIEMدارد

هانتینگ ( Hunting) در خصوص BITS
به کمک الستیک

اگر چه انجام شدنی است اما بدلیل اینکه راههای سوء استفاده از BITS زیاد است ، هانتینگ این مورد هم با چالش های زیادی همراه خواهد بود

https://medium.com/@threathuntingteam/background-intelligent-transfer-protocol-ab81cd900aa7

برای ایده گرفتن :
استفاده از ابزار RSA بنام NetWitness
برای شکار آپلود و دانلود BITS

✳پنج نشانه یا Artifact از شار و جریان BITS در شبکه شما
وجود
📍 HEAD

📍 User Agent:Microsoft BITS

📍GET (special)

📍BITS_POST

📍BITS-Packet-Type

https://community.rsa.com/community/products/netwitness/blog/2017/03/20/identifying-bits-uploads-and-downloads

نگاه Offensive به BITS در مقاله زیر :

انتقال داده ها در هنگام تست نفوذ

https://dshield.org/forums/diary/Data+Exfiltration+in+Penetration+Tests/24354

یک روش دیگر روش کشف انتقال داده یا فایل از طریق BITS

فعال سازی لاگ پاورشل
و رهگیری مقدار زیر
BITSTransfer – Logs use of BITS cmdlets.

روزبه نوروزی

@roozbeh_learning کانال تلگرام آکادمی روزبه Https:/t.me/roozbeh_learning
📚آکادمی امنیت اطلاعات روزبه
www.roozbeh.academy

روزبه نوروزیBITS Jobs تهدیدی که باید شناخت

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *