هکرها از در پشتی BITSLOTH وارد ویندوز می‌شوند

در پشتی جدید و پیشرفته‌ای به نام BITSLOTH از سرویس BITS برای نفوذ به سیستم‌ها و سرورهای ویندوزی سوءاستفاده می‌کند.

به گزارش افتانا، محققان در پشتی جدیدی به نام BITSLOTH در ویندوز کشف کرده‌اند که سیستم‌های ویندوزی را هدف قرار می‌دهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C2) بهره می‌برد. عملیات فرمان و کنترل (C2) فرایندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستم‌های آلوده حفظ می‌کنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت می‌کنند. این کانال به مهاجم امکان می‌دهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمع‌آوری اطلاعات حساس یا دستکاری فایل‌ها را صادر کند.

BITS یک سرویس ویندوزی است که برای انتقال فایل‌ها به صورت غیرهمزمان بین دستگاه‌ها طراحی شده است. این سرویس به‌ویژه برای دانلود به‌روزرسانی‌ها و انتقال داده‌ها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعی‌های شبکه را نیز داراست و می‌تواند انتقال‌ها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راه‌اندازی شده ‌باشد.

BITSLOTH از یک پروژه‌ بارگذاری شل‌کد برای اجرای مخفیانه و عبور از مکانیزم‌های امنیتی سنتی استفاده می‌کند. در حین حرکت جانبی در شبکه، BITSLOTH به‌عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه‌ به نام FL Studio بارگذاری و اجرا می‌کند. FL Studio یک برنامه‌ی معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا می‌کنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر می‌رسد.

در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش می‌کند به سایر سیستم‌های موجود در شبکه دسترسی پیدا کند تا دامنه‌ نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاه‌های داده و سیستم‌های مدیریتی، دسترسی یابد.

BITSLOTH دارای 35 فرمان مختلف است و از‌جمله قابلیت‌های کلیدی آن می‌توان به این موارد اشاره کرد:
جمع‌آوری داده‌ها: شامل ضبط کلیدهای فشرده شده (keylogging)، عکس‌برداری از صفحه نمایش و جمع‌آوری اطلاعات سیستم.
Keylogging، یک روش جاسوسی دیجیتال است که در آن هر چیزی که کاربر روی صفحه‌کلید خود تایپ می‌کند، ثبت می‌شود. این اطلاعات می‌تواند شامل رمزهای عبور، پیام‌های شخصی، اطلاعات بانکی و سایر داده‌های حساس باشد.
اجرا و فرماندهی: امکان اجرای دستورات، آپلود و دانلود فایل‌ها.
پایداری: استفاده از BITS برای حفظ دسترسی مداوم به سیستم.
علاوه بر این، BITSLOTH می‌تواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرایندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راه‌اندازی یا خاموش کند، و حتی خود را به‌روزرسانی کرده یا از سیستم میزبان حذف کند.

این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بی‌ضرر هستند و شبیه به وظایف به‌روزرسانی ویندوز به نظر می‌رسند، از شناسایی شدن اجتناب می‌کند. به عنوان مثال، کارهای موجود با نام‌هایی مثل "WU Client Download" را لغو می‌کند و کارهای جدیدی با نام‌های مشابه ایجاد می‌کند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C2) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می‌کنند.

به گفته‌ محققان، استفاده از BITSLOTH و بهره‌برداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارت‌های امنیتی عبور می‌کند. بسیاری از سازمان‌ها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیت‌های مخرب مشکل دارند، که این امکان را به مهاجمان می‌دهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیت‌های خود را پنهان کنند.

سیستم‌ها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند. اقداماتی مانند نظارت دقیق و مستمر بر ترافیک سرویس BITS، استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS، تنظیم مجدد مجوزهای دسترسی به سرویس BITS و غیرفعال‌سازی آن در سیستم‌هایی که به آن نیاز ندارند، پیاده‌سازی سامانه‌های EDR (Endpoint Detection and Response) پیشرفته برای شناسایی رفتارهای مشکوک و پاسخ به تهدیدات امنیتی در نقاط انتهایی شبکه (مانند رایانه‌های شخصی و سرورها)، استفاده از قوانین YARA ارائه شده توسط Elastic Security Labs برای شناسایی BITSLOTH، محدودسازی اجرای فایل‌های DLL از مسیرهای غیرمجاز و محدودسازی مجوز‌های دسترسی به سیستم‌ها و اطلاعات حساس باید برای جلوگیری از اثرات بدافزاری مانند BITSLOTH انجام شود.