استفاده مهاجمان از اطلاعیه‌های BITS ویندوز برای بارگیری بدافزار

یکی از قابلیت‌های ویندوز که مدتهاست توسط مجرمان سایبری استفاده می‌شود، خدمات انتقال هوشمند پس‌زمینه ویندوز (BITS) است و محققان مرکز SecurityWorks هشدار داده‌اند که این قابلیت کمتر شناخته شده در BITS اکنون برای بارگیری بدافزار استفاده می‌شود.
قابلیت BITS طراحی شده است تا به عنوانی یک قابلیت انتقال پرونده قابل اعتماد و محلی برای ویندوز عمل کند و از پهنای باند استفاده نشده‌ی شبکه بهره ببرد. این عملکردی است که برای به‎روزرسانی‌های سامانه عامل استفاده می‌شود، اما همچنین برای انتقال پرونده در برخی از برنامه‌های ثالث نیز می‌تواند مورد استفاده قرار گیرد. برای بیش از یک دهه، نویسندگان بدافزار، از قابلیت BITS برای اهداف مخرب خود بهره‌برداری کرده‌اند که شامل بارگیری بدافزارها و ارسال آنها، ‌اجرای نرم‌افزارهای دلخواه و یا ایجاد وظایف طولانی مدت بوده است.

اکنون محققان مرکز ضد تهدید (SecurityWorks (CTU گفته‌اند که یک قابلیت کمتر شناخته شده از عملکردهای «اطلاع‌رسانی» انجام فعالیت‌ها،‌ کار مجرمان را در سوءاستفاده از این قابلیت تسهیل می‌کند. این قابلیت به نویسندگان بدافزار اجازه می‌دهد تا وظایف BITS را که برای بارگیری و اجرا لازم هستند، ایجاد کنند که حتی پس از حذف بدافزار اولیه باز هم در سامانه‌ی آلوده باقی می‌ماند.
محققان اکنون فعالیت‌های مخرب فعالی را با اهداف بارگیری و اجرای بدافزارهای جدید پیدا کرده‌اند و تشریح کرده‌اند که این وظایف BITS آلوده پس از اینکه به بارگیری بار داده‎ی مخرب خود پرداختند، اسکریپت‌های نصبی خود را پاک می‌کنند. قابلیت پایگاه داده‌ی BITS اجازه می‌دهد تا این وظایف ایجاد شده نیازی هم به پرونده‎های آلوده یا تغییرات در رجیستری روی میزبان نداشته باشند، بنابراین به راحتی می‌توانند غیر قابل تشخیص شوند.

دو مورد از وظایف انتقال BITS در یک میزبان آلوده یافت شده است که هر دو چند ماه پس از اینکه آلودگی توسط بدافزار اولیه فعال بوده‌اند (۴ ماه مارس) و پس از کشف شدن پاک شده است (در اواسط ماه مارس).
حداکثر زمان حضور پیش‌فرض برای یکی از وظایف BITS نود روز است، اما می‌تواند تمدید شود، و این نشان می‌دهد که چرا این وظایف به بدافزار اولیه وابسته نیستند.

یکی از این وظایف تلاش می‌کند تا پرونده‎ای را بارگیری کرده و آن را در \C:\ProgramData ذخیره کند. به محض اینکه این بارگیری کامل شد، این خدمات BITS یک دستور را به عنوان «برنامه اطلاع‌رسانی» اجرا می‌کند. این دستور یک اسکریپت دسته‌ای ویندوز (x.bat) را ایجاد و اجرا می‌کند که تلاش می‌کند تا پرونده بارگیری شده را با regsvr۳۲.exe اجرا کند، به نحوی که این برنامه را به عنوان یک DLL در نظر می‌گیرد. اگر پرونده پیدا نشود، این اسکریپت تلاش می‌کند تا هر پرونده با پسوند .tmp را در همان دایرکتوری اجرا کند.
چون BITS بارگیری‌های کامل نشده را به عنوان پرونده‎های tmp. در نظر می‌گیرد، این اسکریپت تلاش می‌کند تا مطمئن شود که این پرونده حتی اگر بارگیری شده و تغییر نام هم داده نشده باشد، اجرا می‌شود. وظیفه‌ی دومی که محققان تجزیه و تحلیل کرده‌اند، تقریباً با قبلی یکسان است، اما دارای یک نام متفاوت، نام مسیر متفاوت و آدرس بارگیری متفاوت است.

این تیم، این مشکل را ماه پیش و روی میزبان ویندوز ۷ یافته است که در آن سوابق رویدادهای BITS شامل سوابق مربوط به انتقال‌‌های کامل شده‌ی قبلی از سوی بدافزار قرار داشتند. این تیم بدون ارائه‌ی جزئیات اضافی این سوابق را مورد تجزیه و تحلیل قرار داده است. اگر چه بدافزار اصلی دو ماه قبل از میزبان پاک شده است، اما وظایف BITS به صورت مکرر تلاش در بارگیری و اجرا دارد.
به گفته‌ی CTU، بدافزار اصلی به احتمال زیاد یک بدافزار به نام Zlob.Q بوده که گفته می‌شود با بدافزار DNSChanger مرتبط است. در سامانه‌هایی که با این بدافزار آلوده شده‌اند، کاربران/مدیران باید به شمارش وظایف BITS بپردازند، به ویژه اگر شبکه یا میزبان پس از وصله شدن نیز به ادامه‌ی هشدارها بپردازند. این شمارش می‎تواند با اجرای خدمات‌گیرنده bitsadmin از CMD با افزایش سطح دسترسی انجام شود (bitsadmin /list /allusers /verbose).

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap