(РУКОВОДСТВО) Вредоносное ПО использует протокол Windows BITS для кражи данных

Авторы вредоносных программ постоянно пытаются разработать новые способы проникновения своих вредоносных программ через устройства безопасности. Скрытность является приоритетной задачей для вредоносного программного обеспечения, поскольку во многих случаях обнаружение вредоносного ПО в системе означает, что его больше нельзя использовать. Как только вредоносная программа обнаружена, исследователи безопасности создают сигнатуру, которая используется для ее уникальной идентификации, и передают эту сигнатуру продуктам безопасности, таким как антивирусы. Если во время сканирования антивирус обнаруживает файл, соответствующий одной из его сигнатур, этот файл помещается в карантин или удаляется.

Одной из областей, где авторы вредоносного ПО очень стараются быть скрытными, является сетевой трафик образца вредоносного ПО. Большинство кибератак осуществляются по сети как при доставке вредоносного ПО на целевую машину, так и при любой связи между вредоносным ПО и его владельцем после заражения. Организации используют это преимущество для масштабирования своей защиты, поскольку одно устройство сетевой безопасности может отслеживать и защищать всю сеть.

Новый образец вредоносного ПО под названием Stealth Falcon использует новый подход для уклонения от обнаружения в сети. Он использует протокол BITS на компьютерах с Windows, который обычно включен и разрешен для прохождения через брандмауэры организаций. Протокол идеально подходит для эксфильтрации данных и демонстрирует необходимость хорошего Предотвращение утечки данных (DLP) для выявления и отключения этого необычного пути кражи данных.

Что такое протокол BITS?

Вредоносное ПО Stealth Falcon разработано, чтобы быть незаметным несколькими различными способами. Однако его уникальной особенностью является использование протокола BITS для кражи данных.

Майкрософт разработал Фоновая интеллектуальная служба передачи (BITS) протокол, позволяющий загружать и скачивать большие файлы, не влияя на скорость сетевого подключения пользователя. Этот протокол обычно используется для загрузки обновлений программного обеспечения, поэтому многие организации пропускают его через свой брандмауэр. Термины «фоновый» и «интеллектуальный» в названии протокола BITS относятся к тому факту, что он делает все возможное, чтобы свести к минимуму влияние на работу пользователя с компьютером. BITS определяет, когда у компьютера есть неиспользуемая пропускная способность сети, и использует эту пропускную способность для загрузки. Кроме того, загрузки могут регулироваться (заставляться работать очень медленно) и выполняться асинхронно (запуск и остановка, а не непрерывный поток). В результате протокол BITS очень незаметен, что затрудняет идентификацию его работы в сети.

Вредоносное ПО Stealth Falcon –

Скрытность обмена данными по протоколу BITS делает его идеальным для вредоносных программ, пытающихся скрыть свои коммуникации управления и контроля (C2). Кроме того, поскольку BITS вряд ли будет заблокирован брандмауэром и будет использоваться несколькими поставщиками программного обеспечения для обновлений, большинство организаций вряд ли будут подозревать загрузку и выгрузку данных в необычные домены.

В последнее время вредоносное ПО Stealth Falcon было обнаружено, что он использует BITS для кражи данных и связи C2. Асинхронный характер протокола BITS гарантирует, что устройство безопасности отслеживает только всплески объема трафика, а общий индикатор попытки эксфильтрации данных пропускает связь. Stealth Falcon прилагает особые усилия, чтобы скрыть свои сообщения, создавая зашифрованную копию файла перед передачей и удаляя файлы журнала и зашифрованные копии файлов после завершения связи. Поскольку загрузка/загрузка BITS может сохраняться при перезагрузке и выходе пользователя из системы, протокол C2 вредоносного ПО является скрытным и надежным.

Вредоносное ПО Stealth Falcon получило свое название от ожидаемой связи с хакерской группой Stealth Falcon. Некоторые из серверов, используемых для управления и контроля вредоносных программ, также использовались другими вариантами вредоносных программ, созданными этой группой. Хотя использование Stealth Falcon BITS кажется относительно новым, хакерская группа работает по крайней мере с 2012 года, а вредоносное ПО, вероятно, было создано в 2015 году.

Обнаружение утечки данных —

Вредоносное ПО Stealth Falcon демонстрирует, на что готовы пойти хакеры, чтобы скрыть свои операции и продолжать действовать. Advanced Persistent Threats (APT), такие как группа Stealth Falcon, лучше оставаться незамеченным и красть данные в течение длительного периода времени, чем совершать кричащие атаки для получения известности.

Использование протокола BITS было вдохновляющим выбором для этой вредоносной программы. Протокол в основном предназначен для сокрытия связи от пользователя (чтобы свести к минимуму влияние на производительность), он широко используется и пользуется доверием, а также работает с использованием COM-интерфейса, что затрудняет мониторинг для устройств безопасности.

Использование BITS для эксфильтрации данных демонстрирует, что усилия по мониторингу сетевого трафика организации на предмет аномалий просто недостаточны для защиты конфиденциальной информации. BITS остается незамеченным, и организациям необходимо будет обнаруживать попытку кражи на более ранних этапах процесса, чтобы идентифицировать этот и другие типы скрытых атак.

Для эксфильтрации конфиденциальных данных злоумышленнику сначала необходимо получить к ним доступ. Конфиденциальная информация часто хранится в защищенных базах данных с ограниченным доступом к Интернету или вообще без него. Хакеры обычно копируют репозитории конфиденциальных данных на другую машину для кражи или могут делать зашифрованные копии, как это делает вредоносное ПО Stealth Falcon перед кражи.

Активно ища и идентифицируя хранилища конфиденциальных данных и отслеживая доступ к ним, организация может выявить аномальное поведение, которое может указывать на атаку. Вредоносное ПО Stealth Falcon демонстрирует важность и ценность развертывания надежного решения для защиты данных на предприятии.