T1197: ЗАВДАННЯ BITS (BITS JOBS)
Зловмисники зловживають фоновою інтелектуальною службою передачі Windows (BITS) для прихованого виконання коду та виконання фонових завдань. BITS призначена для асинхронної передачі файлів з низькою пропускною здатністю (наприклад, для Windows Update). Зловмисники використовують її для завантаження шкідливого ПЗ, яке не блокується фаєрволами, а також для закріплення в системі шляхом налаштування автоматичного запуску програм після завершення передачі файлів.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати завданнями BITS для постійного виконання коду та виконання різних фонових завдань. Background Intelligent Transfer Service (BITS) у Windows — це механізм асинхронної передачі файлів з низькою пропускною здатністю, доступний через Component Object Model (COM). BITS зазвичай використовується програмами оновлення (updaters), месенджерами та іншими додатками, які мають працювати у фоні, не перериваючи роботу інших мережевих програм. Завдання з передачі файлів реалізуються як BITS-завдання, що містять чергу з однієї або кількох операцій з файлами.
Інтерфейс для створення та керування завданнями BITS доступний через PowerShell та інструмент BITSAdmin.
Зловмисники можуть зловживати BITS для завантаження (наприклад, Ingress Tool Transfer), виконання та навіть очищення слідів після запуску шкідливого коду (Indicator Removal). Завдання BITS автономно зберігаються в базі даних BITS без створення нових файлів або модифікації реєстру, і часто дозволяються хостовими фаєрволами.
Виконання через BITS також може забезпечити стійкість (Persistence) шляхом створення тривалих завдань (типовий максимальний термін служби становить 90 днів і може бути продовжений) або виклику довільної програми, коли завдання завершується або виникає помилка (зокрема після перезавантаження системи). Функціонал завантаження BITS також може бути використаний для викрадення даних через альтернативні протоколи (Exfiltration Over Alternative Protocol).
Чому BITS — це «невидимка» для захисту?
- Обхід фаєрволів: Оскільки BITS використовується службою Windows Update, його мережевий трафік зазвичай вважається довіреним.
- Стійкість до перезавантажень: Служба BITS автоматично відновлює чергу завдань після того, як комп’ютер знову вмикається.
- Механізм тригера: Можливість вказати параметр NotificationCommandLine дозволяє зловмиснику сказати системі: «Коли цей файл докачається (або якщо станеться помилка), запусти ось цей скрипт».
Як виявити? Адміністратори можуть перевірити активні завдання BITS за допомогою команди:
- bitsadmin /list /allusers /verbose або через PowerShell: Get-BitsTransfer -AllUsers.