کد QR مطلبدریافت لینک صفحه با کد QR

هکرها با استفاده از ویژگی‌های سیستم عامل ویندوز فایروال را دور می‌زنند

28 فروردين 1400 ساعت 9:38

ایتنا - یک تکنیک جدید که توسط مهاجمان اتخاذ شده است، روش‌هایی را برای استفاده ازMicrosoft Intelligent Transfer Transfer Service ‪(BITS)‬ به منظور استقرار فایل‌های مخرب بر روی دستگاه‌های ویندوز به طور مخفی پیدا می‌کند.



در سال 2020، بیمارستان‌ها، انجمن‌های بازنشستگی و مراکز درمانی خسارت‌هایی از یک فعالیت فیشینگ که درهای پشتی سفارشی مانند KEGTAP را توزیع می‌کرد، متحمل شدند، که در نهایت زمینه حملات باج افزار RYUK را فراهم کرد.

تحقیقات جدید اکنون مکانیسم پایداری ناشناخته‌ای را نشان داده است که نشان می‌دهد مهاجمان برای راه اندازی درب پشتی از BITS استفاده کرده‌اند. BITS در ویندوز XP معرفی شده است. یکی از اجزای مایکروسافت ویندوز است که از پهنای باند شبکه برای تسهیل در انتقال ناهمگام پرونده‌ها بین ماشین‌‌ها استفاده می‌کند.

BITS معمولاً برای ارائه به روزرسانی‌های سیستم عامل به مشتریان و همچنین توسط اسکنر آنتی ویروس Windows Defender برای واکشی به روزرسانی‌های امضای بدافزار استفاده می‌شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه‌های دیگری مانند Mozilla Firefox نیز استفاده می‌شود تا امکان بارگیری در پس زمینه حتی در صورت بسته بودن مرورگر فراهم شود.

 



به گفته محققان: وقتی برنامه‌های مخرب برای BITS ایجاد می‌شود، پرونده‌ها در چارچوب روند خدمات میزبان بارگیری یا بارگذاری می‌شوند. این کار می‌تواند برای جلوگیری از فایروال‌هایی که ممکن است پروسه‌های مخرب یا ناشناخته را مسدود کنند مفید باشد و به شما کمک می‌کند بفهمید که کدام برنامه درخواست انتقال داده است.

به طور خاص، مشخص شد که حوادث پس از خرابی توسط Ryuk از سرویس BITS برای ایجاد شغل جدید به عنوان "بروزرسانی سیستم" استفاده شده است که برای راه‌اندازی یک برنامه اجرایی با نام "mail.exe" پیکربندی شده است، که به نوبه خود باعث ایجاد درپشتی KEGTAP می‌شود.

محققان اظهار داشتند: کار مخرب BITS برای تلاش برای انتقال HTTP یک پرونده موجود از localhost تنظیم شده است. از آن‌جا که این پرونده هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می‌کند، که در این مورد از KEGTAP استفاده کرده بود.

محققان برای کمک به پاسخگویی به حوادث و تحقیقات قانونی، یک ابزار پایتون به نام BitsParser در دسترس قرار داده‌اند که هدف آن تجزیه پرونده‌های پایگاه داده BITS و استخراج اطلاعات کار و پرونده برای تجزیه و تحلیل بیشتر است.

منبع: پایگاه اطلاع‌رسانی پلیس فتا


کد مطلب: 64710

آدرس مطلب: https://www.itna.ir/news/64710/هکرها-استفاده-ویژگی-های-سیستم-عامل-ویندوز-فایروال-دور-می-زنند

ايتنا
  https://www.itna.ir