Lợi dụng tính năng trên Windows để tránh tường lửa

Hacker lợi dụng Dịch vụ truyền tải tệp thông minh BITS của Microsoft để tấn công ‘lén lút’ trên các máy tính Windows bằng cách sử dụng một kỹ thuật tấn công mới lạ.

​

Năm ngoái, các bệnh viện, cộng đồng hưu trí và trung tâm y tế phải gánh chịu một chiến dịch lừa đảo thay đổi liên tục nhằm phát tán các backdoor tùy chỉnh như KEGTAP, kết quả là mở đường cho các cuộc tấn công bằng ransomware RYUK.
Nghiên cứu mới của FireEye chỉ ra hacker đã lợi dụng BITS để khởi chạy backdoor.
BITS thường được sử dụng để cung cấp các bản cập nhật hệ điều hành cho máy khách. BITS cũng được sử dụng trong trình quét antivirus của Windows Defender để tìm nạp các mẫu nhận diện mã độc. Dịch vụ này cũng được sử dụng bởi các ứng dụng khác như Mozilla Firefox, cho phép tiếp tục tải các file ở chế độ nền, ngay cả khi trình duyệt bị đóng.

​

Các nhà nghiên cứu của FireEye cho biết: “Sau khi các ứng dụng độc hại tạo ra các tác vụ BITS, các tệp sẽ được tải xuống hoặc tải lên theo quy trình lưu trữ dịch vụ. Điều này có thể giúp các tiến trình độc hại không rõ nguồn gốc hoặc không bị tường lửa chặn, đồng thời che giấu ứng dụng thực sự đang gửi yêu cầu".
Trong các cuộc tấn công liên quan đến mã độc Ryuk, hacker đã lợi dụng dịch vụ BITS để tạo một tác vụ mới dưới dạng "Cập nhật hệ thống" được cấu hình để khởi chạy tệp thực thi có tên "mail.exe". Từ đó, kích hoạt backdoor KEGTAP, sau khi tải một URL không hợp lệ xuống.
"Tác vụ BITS độc hại được thiết lập để yêu cầu truyền tải HTTP một tệp không tồn tại từ localhost. Vì tệp này không tồn tại, BITS sẽ kích hoạt trạng thái lỗi và khởi chạy lệnh thông báo, trong trường hợp này là KEGTAP", FireEye cho hay.
Cơ chế tấn công mới này cho thấy một công cụ hữu ích như BITS rất có thể bị hacker lợi dụng. Các nhà nghiên cứu đã cung cấp một tiện ích Python có tên BitsParser nhằm mục đích phân tích cú pháp các tệp cơ sở dữ liệu BITS, trích xuất thông tin tác vụ và tệp để phân tích bổ sung.

Nguồn: The Hacker News​