2021年3月31日,美国网络安全企业FireEye公司发布报告,称其研究人员在2020年多起攻击活动中发现了攻击者利用Windows后台智能传输服务(BITS)实施攻击的实例。为了获取攻击活动的BITS数据,FireEye发布了一款自主开发的分析工具“BitsParser”。该工具可解析BITS数据库,获取作业、文件等数据信息,以进一步分析发现攻击者的下载、上传和持久性设置等恶意操作。 报告称,微软在Windows XP及之后的系统中引入了后台智能传输服务(BITS),旨在优化大量数据的下载和上传。应用程序和系统组件(如Windows Update)会使用BITS交付操作系统和应用程序更新,以便在不影响用户正常使用的情况下进行下载。应用程序会通过创建作业(包含一个或多个要下载和上传的文件)来与BITS进行交互。BITS在服务主机进程中运行,并且可以设置在任何时间进行传输。其作业、文件和状态信息存储于本地数据库中。 报告指出,BITS可被攻击者利用实施恶意攻击。恶意应用程序可通过创建BITS作业在服务主机进程的上下文中下载或上传文件。该方法可有效逃避防火墙,并且有助于掩盖请求传输的应用程序信息。同时攻击者还可以利用BITS设置特定的传输时间,而无需依赖长时间运行的进程或任务计划程序。此外,由于BITS作业的命令数据存储在数据库中,而不是传统的注册表位置,因此可能会被分析工具或分析人员忽略,从而成功逃避分析检测。
本文来源:国家计算机病毒应急处理中心