Detecção WindowsAbuso de BITS

Last updated
Save as PDF
Share
1. Share
2. Tweet
3. Share

Windows O Serviço de Transferência Inteligente de Fundo (BITS) é um mecanismo de transferência de ficheiros assíncrono e de baixa largura de banda exposto através do Component Object Model (COM). O BITS é normalmente utilizado por actualizadores, mensageiros e outras aplicações que preferem operar em segundo plano (utilizando a largura de banda ociosa disponível) sem interromper outras aplicações em rede. As tarefas de transferência de ficheiros são implementadas como trabalhos BITS, que contêm uma fila de uma ou mais operações de ficheiro. A interface para criar e gerir trabalhos BITS é acessível através do PowerShell e da ferramenta BitsAdmin.

Os atacantes podem abusar do BITS para transferir, executar e limpar depois de executarem código malicioso. As tarefas BITS são independentes na base de dados de trabalhos BITS, sem novos ficheiros ou modificações de registo, e são frequentemente permitidas pelos firewalls do anfitrião. A execução habilitada por bits também pode permitir a persistência criando trabalhos de longa duração, uma vez que o tempo de vida máximo padrão é de 90 dias e é extensível, ou invocando um programa arbitrário quando um trabalho é concluído ou com erros, inclusive após reinicializações do sistema.

Estas pesquisas permitem detectar e investigar atividades incomuns que possam indicar abuso de BITS.

R dados exigidos

Dados de detecção e resposta de endpoint (EDR) com informações sobre o processo que incluem o nome do processo responsável pelas alterações dos seus endpoints. Utilize estes dados para preencher o nó Processos do Modelo de dados de ponto final no Modelo Comum de Informação (CIM). Para obter informações sobre a instalação e utilização do CIM, consulte o Documentação do Modelo de Informação Comum .

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Próximos passos

Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização:

Blogue: Caça às Ameaças com Splunk: Tutoriais práticos para o Caçador Ativo
Se é um Splunk Enterprise Security cliente, também pode obter ajuda da equipa de Security Research opções de suporte no GitHub .