Експерти SecureWorks попереджають. хакери знайшли новий спосіб для повторної доставки малварі в одного разу скомпрометовану систему. Для цього зловмисники використовують компонент Windows BITS (Background Intelligent Transfer Service), який відповідає за передачу файлів між клієнтом і сервером, і працює з Windows Update і Microsoft Security Essentials. Виявилося, що з доставкою малварі BITS справляється не гірше, ніж з доставкою оновлень.
Дослідників SecureWorks запросили розслідувати дивний випадок: система, в якій точно не було ніякої малварі, раз у раз демонструвала дивну поведінку і викликала спрацьовування систем безпеки.
Перше завдання ініціювало скачування файлу, який зберігався в C: \ ProgramData \\. D. По завершенні завантаження, BITS виконувала отриманий код як «notification program», а потім «прибирала за собою», видаляючи використані файли. Хоча оригінальний шкідливий був давно стертий з системи антивірусом, завдання в BITS збереглися, і перезавантаження малварі проводилася «за розкладом». Так як BITS є довіреною службою, антивірус не блокував цю активність і не розцінював її як шкідливу. Система безпеки лише створювала повідомлення про те, що відбувається щось підозріле.
Дослідники відзначають, що максимальний термін життя завдань BITS становить 90 днів, проте його можна продовжити, і тоді зловмисник отримає надійний плацдарм для подальших атак.
На закінчення фахівці SecureWorks описали способи боротьби з зараженнями такого роду, а також привели список доменів, які використовувалися зловмисниками в даному випадку. З докладним звітом дослідників можна ознайомитися тут.
Поділися новиною з друзями: