En los últimos meses, las bandas de ciberdelincuentes han abusado del Servicio de transferencia inteligente en segundo plano (BITS) de Windows con malware como una forma de enmascarar sus operaciones.
En este artículo, aprenderemos sobre BITS. El malware utiliza la función BITS por razones nefastas, pero existen formas de prevenir y detectar escenarios de esta naturaleza.
¿Qué es el Servicio de transferencia inteligente en segundo plano de Windows?
BITS es un servicio disponible en el sistema operativo Windows y la forma predeterminada a través de la cual Microsoft envía actualizaciones de Windows a usuarios de todo el mundo. Las aplicaciones y los componentes del sistema, incluido Windows Update, utilizan BITS para entregar actualizaciones del sistema operativo y de las aplicaciones para que puedan descargarse con una interrupción mínima.
1: Servicio BITS y su configuración (modo automático).
BITS funciona en base a trabajos con uno o más archivos para descargar y cargar dependiendo de la cantidad de aplicaciones con las que interactúa. El servicio BITS se ejecuta en un proceso de host de servicio y puede programar transferencias como las conocidas actualizaciones de Windows. La información sobre los trabajos, archivos y estados se almacena en una base de datos local (BITS QMGR).
Cómo utilizan los BITS los delincuentes
El uso masivo de BITS por parte de grupos criminales no es nuevo. Por ejemplo, una puerta trasera utilizada por el infame grupo Stealth Falcon aprovecha este servicio para comunicarse con el servidor C2.
El equipo de investigación de ESET dijo que la puerta trasera Win32/StealthFalcon no se comunicaba con su servidor remoto a través de solicitudes HTTP o HTTPS clásicas, sino que ocultaba el tráfico CC dentro de BITS.
BITS fue diseñado para funcionar junto con aplicaciones de Windows y descargar y cargar datos de forma sigilosa. Debido a esto, este recurso puede ser útil para evadir firewalls que pueden bloquear procesos maliciosos o desconocidos y, por supuesto, ayuda a enmascarar qué aplicaciones solicitan o descargan datos de Internet.
Una de las características más poderosas es que las transferencias BITS son asincrónicas y es posible que la aplicación que creó un trabajo no se esté ejecutando cuando se completan las transferencias solicitadas. En este sentido, los delincuentes han utilizado esta característica como método para crear persistencia de aplicaciones maliciosas durante mucho tiempo.
Otro punto clave desde el punto de vista del delincuente es cómo se guardan los datos. Una vez que los datos de comando se almacenan en una base de datos en lugar de las ubicaciones de registro tradicionales, es posible que muchas herramientas y analistas forenses no presten atención e identifiquen la persistencia maliciosa a través de BITS de manera temprana.
Descargando el binario malicioso
Los comandos BITS se pueden codificar dentro de códigos de malware, cargadores de PowerShell, etc. Los trabajos se pueden crear mediante llamadas a funciones API o mediante la herramienta de línea de comandos bitsadmin. La 2 muestra cómo un archivo malicioso llamado “malware.exe” podría recuperarse de un servidor HTTPS C2 y almacenarse en la carpeta C:windows .
2: Uso de bitsadmin para crear un trabajo que descarga un ejecutable malicioso y lo almacena en c:windowsmalware.exe.
3: Archivo malicioso descargado en la carpeta C:windows.
Creando persistencia
Se logra un método para crear persistencia en la máquina de destino configurando una notificación como se presenta en la 4 a continuación.
4: Creación de persistencia en la máquina de destino mediante BITS.
Con este método implementado, varios grupos crearon persistencia, evadieron firewalls y detección simplemente usando BITS. Por ejemplo, en el pasado muchos incidentes involucraron a operadores de ransomware Ryuk que aprovecharon puertas traseras y cargadores personalizados para atacar activamente hospitales y otros centros de soporte médico.
Abordar los problemas de seguridad con BITS
BITS es un servicio potente y muchas veces lo utilizan los delincuentes para eludir los firewalls, ya que las organizaciones tienden a ignorar el tráfico de BITS sabiendo que contiene actualizaciones de software y considerándolo simplemente ruido en el tráfico de la red.
Una de las ventajas de utilizar BITS es la capacidad de pausar cualquier tráfico malicioso si el usuario está utilizando su máquina, operando sólo en períodos de inactividad. Con esto en mente, aprendimos fácilmente que el cambio en la detección humana es mínimo, aunque el malware aún puede ser detectado por las soluciones de seguridad adecuadas cuando modifica los registros locales y otras configuraciones de BITS o tareas programadas.
Fireeye trabajó de esta manera y lanzó una herramienta llamada BitsParser. En resumen, la herramienta analiza bases de datos BITS y devuelve información sobre los trabajos ejecutados en sistemas de terminales. Después de eso, el analista debe revisar los resultados e identificar cualquier artefacto malicioso o incluso si existe una programación anormal.
5: Página de GitHub de BitsParser y uso de herramientas.
Los resultados obtenidos después de ejecutar la herramienta son obvios y siguen el siguiente formato:
6: Informe generado después de ejecutar la herramienta BitsParser.
Los delincuentes siguen explorando y utilizando BITS en sus actividades maliciosas. Por esta razón, la base de datos BITS QMGR proporciona una fuente útil de datos para considerar durante sus operaciones de caza.
Fuentes
- Cómo utilizan los atacantes BITS , Fireeye
- Ciberespionaje mediante BITS , ZDNet
- Grupo Halcón , ESET
- Línea de comando BITS , Segurança-Informática