Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Windows BITS используется для работы шпионской малвари

HADD-NEELS

Избранный
Почетный участник
Joined
10.12.2016
Messages
5,605
Reaction score
11,570
Points
749
Windows BITS используется для работы шпионской малвари

10.09.19
Специалисты ESET , злоупотребляющий возможностями службы Windows BITS, и с связывают его с группировкой Stealth Falcon.

Данная группа правительственных хакеров известна ИБ-экспертам с 2016 года, когда опубликовала некоммерческая организация Citizen Lab. По их данным, группа активна с 2012 года и основными ее целыми являются диссиденты из Объединенных Арабских Эмиратов (ОАЭ).

Теперь аналитики ESET сообщили, что нашли новый инструмент Stealth Falcon: малварь использует службу Windows BITS для взаимодействия со своим управляющим сервером.

Обычно Background Intelligent Transfer Service (BITS) используется Microsoft для работы с Windows Update и, когда пользователь не использует свое сетевое соединение, во время простоя происходит обновление ОС. Другие приложения также могут применять BITS для загрузки собственных обновлений.

4390

Обнаруженному вредоносу исследователи присвоили идентификатор Win32/Stealth Falcon. Он действует как базовый бэкдор и позволяет своим операторам загружать и запускать дополнительный код на зараженных хостах или передавать данные на удаленные серверы.

Однако с управляющим сервером малварь связывается не через классические HTTP или HTTPS, но скрывает свой трафик внутри BITS. Исследователи полагают, что это сделано с целью обхода защитных решений, так как они, как правило, игнорируют BITS-трафик, зная, что тот содержит лишь обновления.

В остальном малварь ведет себя весьма тривиально. По-видимому, бэкдор был создан еще в 2015 году, так как для связи с управляющим сервером он использует домены, которые использовались еще PowerShell-бэкдором, описанном еще в отчете Citizen Lab.

«Код обоих бэкдоров демонстрирует значительное сходство: хотя они написаны на разных языках, основная логика сохраняется. Оба используют жестко закодированные идентификаторы (вероятно, это идентификаторы кампании или цели), — пишут исследователи ESET. — В обоих случаях исходящие от скомпрометированного хоста соединения содержат в префиксе эти идентификаторы и трафик шифруется с помощью RC4 и жестко закодированного ключа».
Обстоятельства обнаружения бэкдора и его цели исследователи не раскрывают. При этом сообщается, что ESET удалось продвинуться в отношении идентификации операторов Stealth Falcon. Так исследователи упоминанию компанию Amnesty International, которая заявляла, что группа Stealth Falcon, является частным подрядчиком по кибербезопасности DarkMater, фигурирующем от января 2019 года.

Тогда журналисты Reuters описывали Project Raven — инициативу, в которой якобы задействованы бывшие сотрудники АНБ, помогавшие правительству ОАЭ выслеживать и взламывать устройства диссидентов, то есть атакуя те же цели, что и Stealth Falcon. Компания DarkMater, тогда отвергла все обвинения.

Стоит заметить, что бэкдор Stealth Falcon — это не первая малварь, злоупотребляющая возможностями BITS. Например, похожее поведение демонстрировал , обнаруженный ИБ-специалистами еще в 2016 году.
 
Last edited:

Top Bottom