Lợi dụng tính năng trên Windows để tránh tường lửa

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 02/04/21, 11:04 AM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 620
    Đã được thích: 73
    Điểm thành tích:
    48
    Hacker lợi dụng Dịch vụ truyền tải tệp thông minh BITS của Microsoft để tấn công ‘lén lút’ trên các máy tính Windows bằng cách sử dụng một kỹ thuật tấn công mới lạ.
    Windows-Update.jpg
    Năm ngoái, các bệnh viện, cộng đồng hưu trí và trung tâm y tế phải gánh chịu một chiến dịch lừa đảo thay đổi liên tục nhằm phát tán các backdoor tùy chỉnh như KEGTAP, kết quả là mở đường cho các cuộc tấn công bằng ransomware RYUK.
    Nghiên cứu mới của FireEye chỉ ra hacker đã lợi dụng BITS để khởi chạy backdoor.
    BITS thường được sử dụng để cung cấp các bản cập nhật hệ điều hành cho máy khách. BITS cũng được sử dụng trong trình quét antivirus của Windows Defender để tìm nạp các mẫu nhận diện mã độc. Dịch vụ này cũng được sử dụng bởi các ứng dụng khác như Mozilla Firefox, cho phép tiếp tục tải các file ở chế độ nền, ngay cả khi trình duyệt bị đóng.
    malware (1).jpg
    Các nhà nghiên cứu của FireEye cho biết: “Sau khi các ứng dụng độc hại tạo ra các tác vụ BITS, các tệp sẽ được tải xuống hoặc tải lên theo quy trình lưu trữ dịch vụ. Điều này có thể giúp các tiến trình độc hại không rõ nguồn gốc hoặc không bị tường lửa chặn, đồng thời che giấu ứng dụng thực sự đang gửi yêu cầu".
    Trong các cuộc tấn công liên quan đến mã độc Ryuk, hacker đã lợi dụng dịch vụ BITS để tạo một tác vụ mới dưới dạng "Cập nhật hệ thống" được cấu hình để khởi chạy tệp thực thi có tên "mail.exe". Từ đó, kích hoạt backdoor KEGTAP, sau khi tải một URL không hợp lệ xuống.
    "Tác vụ BITS độc hại được thiết lập để yêu cầu truyền tải HTTP một tệp không tồn tại từ localhost. Vì tệp này không tồn tại, BITS sẽ kích hoạt trạng thái lỗi và khởi chạy lệnh thông báo, trong trường hợp này là KEGTAP", FireEye cho hay.
    Cơ chế tấn công mới này cho thấy một công cụ hữu ích như BITS rất có thể bị hacker lợi dụng. Các nhà nghiên cứu đã cung cấp một tiện ích Python có tên BitsParser nhằm mục đích phân tích cú pháp các tệp cơ sở dữ liệu BITS, trích xuất thông tin tác vụ và tệp để phân tích bổ sung.
    Nguồn: The Hacker News
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: