Os hackers estão sempre em busca de novas técnicas originais para poder atacar os usuários. Há momentos em que o fazem criando malware muito complexo, outros o fazem por meio de vulnerabilidades e outros que se aproveitam das características próprias e legítimas do sistema operacional para colocar em risco a segurança dos usuários, fugir de suas medidas de segurança e assumir o controle do sistema. . E é assim que funciona essa nova técnica que tira proveito do serviço Windows BITS .
O serviço BITS ( Background Intelligent Transfer Service ) é um serviço introduzido no sistema operacional Windows XP usado para aproveitar a largura de banda ociosa (ou seja, a Internet que não usamos) para facilitar as transferências de arquivos assíncronos entre máquinas locais. Em outras palavras, é o serviço usado pelo Windows Update para baixar atualizações do Windows automaticamente em segundo plano, bem como pelo Windows Defender para verificar e atualizar o banco de dados. Outros aplicativos, como Chrome e Firefox, também usam este serviço para baixar novas versões quando o navegador é fechado.
Este serviço é legítimo e tudo o que passa por ele deve ser confiável. No entanto, um grupo de pesquisadores de segurança encontrou uma maneira de tirar proveito disso para assumir o controle de qualquer sistema, até mesmo contornando o firewall e outras medidas de segurança.
O BITS pode ser usado como uma porta dos fundos para o seu PC
A empresa de segurança FireEye revelou um mecanismo de persistência de malware desconhecido até o momento. Quando um aplicativo malicioso chega ao PC, ele pode criar certos trabalhos BITS que permanecem com execução pendente no PC, como tarefas agendadas. Esses trabalhos são executados no nível do sistema, portanto, por padrão, eles são confiáveis pelas medidas de segurança. Assim, tudo o que se processa através do BITS tende a escapar do firewall e do antivírus , chegando ao PC sem levantar suspeitas.
Vamos dar um exemplo. O BITS destina-se a carregar um recurso local. Um programa malicioso pode criar uma tarefa chamando um arquivo que não existe, disparando um erro. Quando esse erro é gerado, um comando de notificação personalizado é executado, que poderia perfeitamente ser um .exe. E este .exe pode ser um backdoor, um Trojan, um ransomware, etc. Como por padrão o BITS é um processo do sistema, o que é iniciado por meio dele não passa por antivírus ou firewall, o que põe em risco toda a nossa segurança.
Essa técnica já foi usada em vários ataques de backdoor direcionados , como o KEGTAP em 2020 . Mas agora as coisas ficam complicadas, à medida que mais e mais hackers vão tirar proveito dessa técnica.
Como proteger o Windows
Não é a primeira vez que vimos hackers encontrar uma maneira de aproveitar os recursos e serviços legítimos do Windows para realizar suas próprias tarefas. E é cada vez mais difícil cobrir todas as frentes pelas quais eles podem nos atacar.
No caso desta falha específica, a FireEye criou uma ferramenta, BitsParser , que nos permite analisar tudo o que é processado através do BITS. Assim, podemos extrair as informações de qualquer trabalho para descobrir se ele é confiável ou pode ser perigoso.
Além disso, como sempre, recomendamos usar o bom senso. Devemos evitar baixar arquivos suspeitos e perigosos da Internet, bem como ter cuidado com o que recebemos por e-mail. Só então podemos ter certeza de que nada tentará assumir o controle do nosso PC.
0 Comentários