Novi BITSLOTH backdoor
BITSLOTH je novootkriveni Windows backdoor koji koristi ugrađenu funkciju Usluga inteligentnog prenosa u pozadini (eng. Background Intelligent Transfer Service – BITS) kao mehanizam za komandu i kontrolu (C2). Ovu prikrivenu vrstu zlonamjernog softvera prvi put je identifikovala sigurnosna kompanija Elastic Security Labs u junu 2024. godine tokom napada na ministarstvo spoljnih poslova jedne vlade Južne Amerike.
BITSLOTH BACKDOOR
Usluga inteligentnog prenosa u pozadini (BITS) je Windows komponenta dizajnirana za prenos datoteka preko sporih ili veza sa prekidima. To je idealan izbor za zlonamjerne aktere koji žele da uspostave prikrivene komunikacione kanale, jer se neprimjetno spaja sa redovnim sistemskim aktivnostima, čineći otkrivanje izazovnim. Usluga inteligentnog prenosa u pozadini (BITS) koristi male količine propusnog opsega i može da nastavi prenose nakon prekida, obezbeđujući pouzdan prenos podataka čak i u nepovoljnim mrežnim uslovima.
BITSLOTH koristi prednosti ove funkcije koristeći BITS API za slanje komandi sa udaljenog servera kompromitovanim sistemima. Backdoor zatim tiho izvršava ove komande, što otežava bezbjednosnim alatima i sigurnosnim istraživačima da otkriju njegovo prisustvo ili aktivnosti. Ova tehnika omogućava napadačima da zadrže postojan pristup kompromitovanim sistemima bez izazivanja sumnje.
Mogućnosti
BITSLOTH je sofisticirani backdoor koji dolazi opremljen raznim mogućnostima za olakšavanje prikupljanja podataka i daljinske kontrole nad kompromitovanim sistemima. Neke od njegovih poznatih karakteristika uključuju:
- Zlonamjerni softver može patiti korisnički unos (eng. keylogging) i snimanje ekrana za prikupljanje akreditiva i krađu informacija, pružajući zlonamjernim akterima vrijedne podatke. Pored toga, može da napravi snimke ekrana za prikupljanje vizuelnih podataka sa radne površine ili aktivnih prozora ugrožene mašine,
- Otpremanje i preuzimanje datoteka u svrhu eksfiltracije ili širenja omogućava zlonamjernim akterima da prenose datoteke između svog servera za komandu i kontrolu i zaraženih sistema. Ova funkcionalnost im omogućava da ukradu osjetljive informacije, kao što su dokumenti ili baze podataka, sa kompromitovane mašine ili šire zlonamjerni softver na druge povezane uređaje,
- Izvršavanjem komandi za proizvoljnu manipulaciju sistemom zlonamjerni akteri mogu da obavljaju različite zadatke, uključujući instaliranje dodatnog zlonamjernog softvera, izmjene sistemskih postavki i pokretanje napada na druge mete,
- Uklanjanje postojanosti ili rekonfiguracija da bi se izbjeglo otkrivanje daje zlonamjernim akterima mogućnost da izaberu da uklone BITSLOTH mehanizam postojanosti ili da izmjene njegovu konfiguraciju kako bi izbjegli otkrivanje od strane bezbjednosnih alata. Ova prilagodljivost je veoma izazovna za sigurnosne timove i otežava im da identifikuju i uklone backdoor kompromitovanih sistema,
- Ponovno pokretanje ili gašenje sistema kako bi se poremetili napori analize daje mogućnost zlonamjernim akterima da spriječe sigurnosne istraživače da pristupe zaraženom uređaju tokom istrage incidenta. Ova taktika takođe pomaže BITSLOTH da izbjegne detekciju bezbjednosnih alata koji se oslanjaju na obrasce sistemske aktivnosti za otkrivanje anomalija,
- Mogućnost promjene režima komunikacije kako bi se zlonamjerni softver prilagodio uslovima mreže omogućava napadačima da promjene komunikacione režime koje koristi BITSLOTH na osnovu uslova mreže. Na primjer, mogu da pređu sa HTTP protokola na HTTPS protokol ili da koriste različite portove da bi izbjegli napore u otkrivanju i analizi,
- Zlonamjerni softver ima mogućnost proizvoljnog okončanja procesa da bi se onemogućili bezbjednosni alati i proces koji bi mogli da ometaju aktivnosti zlonamjernih aktera na kompromitovanom sistemu. Ova taktika obezbjeđuje lakše izvršavanje njihovih zlonamjernih namjera,
- Da bi održao svoju efikasnost, BITSLOTH se može automatski ažurirati koristeći isti komunikacioni kanal koji koristi za komandu i kontrolu. Alternativno, zlonamjerni akteri mogu izabrati da izbrišu backdoor iz inficiranog sistema ako im više nije potrebno njegovo prisustvo.
Uticaj
Pojava BITSLOTH zlonamjernog softvera služi kao alarmantan podsjetnik na okruženje prijetnji koje se stalno razvija i sofisticirane taktike koje koriste zlonamjerni akteri da se infiltriraju u sisteme i ugroze osjetljive podatke. Ovo otkriće naglašava važnost organizacija i pojedinaca da ojačaju svoju odbranu od takvih prikrivenih prijetnji i da ostanu na oprezu.
Utica BITSLOTH zlonamjernog softvera je dalekosežan, jer se može koristiti za razne zlonamjerne aktivnosti. Na primjer, zlonamjerni akteri bi mogli da iskoriste ovaj backdoor za postavljanje ransomware zlonamjernog softvera ili drugih destruktivnih korisnih opterećenja na kompromitovane sisteme. Oni takođe mogu da iskoriste komunikacioni kanal za eksfiltriranje osjetljivih podataka iz ciljanih organizacija.
Štaviše, sigurnosni istraživači su povezali ovaj backdoor sa govornicima kineskog jezika zbog njegovih funkcija evidentiranja i nizova, kao i zbog korištenja alata otvorenog kôda RingQ koji su ranije koristili kineski zlonamjerni akter. Iako je bitno napomenuti da pripisivanje može biti izazov u sajber bezbjednosti, ovi pokazatelji sugerišu da BITSLOTH zaista može da potiče iz ovog regiona.
ZAKLJUČAK
BITSLOTH je novi backdoor koji ciljaju na Windows operativne sisteme koristeći uslugu inteligentnog prenosa u pozadini (BITS) za uspostavljanje prikrivenih komunikacionih kanala sa komandnim centrima zlonamjernih aktera, omogućavajući im da sprovode razne zlonamjerne aktivnosti izbjegavajući otkrivanje. Najnovija iteracija ove prijetnje je integrisana sa višestrukim funkcijama i mogućnostima rukovanja kao što su snimanje ekrana, vođenje evidencija, otpremanje/preuzimanje datoteka, završetak procesa, samoažuriranje ili brisanje i još mnogo toga. Sigurnosni istraživači su ovaj zlonamjerni softver povezali sa govornicima kineskog jezika zbog njegovih funkcija evidentiranja i nizova, kao i zbog upotrebe alata otvorenog kôda RingQ koji su ranije koristili kineski zlonamjerni akter.
Imajući u vidu velike mogućnosti BITSLOTH zlonamjernog softvera i njegovu potencijalnu povezanost sa naprednim trajnim prijetnjama (APT) ili akterima koje sponzoriše država, organizacije moraju da preduzmu hitne mjere da zaštite svoje sisteme od ove prijetnje. Prakse upravljanja ranjivostima treba da budu ugrađene u organizacione bezbjednosne protokole kako bi se riješile poznate bezbjednosne rupe i ublažio rizik od eksploatacije od strane zlonamjernih aktera.
BITSLOTH predstavlja značajnu prijetnju bezbjednosnom okruženju zbog svoje sposobnosti da izbjegne otkrivanje korišćenjem ugrađenih komponenti Windows operativnog sistema i svojim velikim mogućnostima. Organizacije moraju da preduzmu hitne mjere da zaštite svoje sisteme od ovog zlonamjernog softvera tako što će primijeniti robusne prakse upravljanja ranjivostima, održavati sav softver ažurnim i primjenom naprednih rješenja za otkrivanje prijetnji. Informisanjem o najnovijim prijetnjama i preduzimanjem proaktivnih mjera za obezbjeđenje svojih mreža, organizacije mogu da smanje rizik da postanu žrtve sofisticiranih napada kao što je BITSLOTH.
ZAŠTITA
Da bi se efikasno zaštitili od prikrivene prijetnje koju predstavlja BITSLOTH zlonamjerni softver, organizacije i pojedinci moraju dati prioritet primjeni nekoliko ključnih bezbjednosnih mjera:
- Sprovoditi sveobuhvatno praćenje i primjenjivati mehanizme za otkrivanje prijetnji da bi se identifikovalo anomalno ponašanje i sumnjive aktivnosti koje ukazuju na potencijalni kompromis. Proaktivno traženje prijetnji i kontinuirano praćenje igraju ključnu ulogu u otkrivanju i neutralisanju ovakvih prijetnji pre nego što izazovu haos. Ovo uključuje podešavanje upozorenja za neobičan mrežni saobraćaj, pristupe datotekama ili izvršenja procesa koja odstupaju od uobičajenih obrazaca,
- Osigurati da su svi sistemi ažurirani najnovijim bezbjednosnim ispravkama i ažurirnanima kako bi se ublažili rizici koje predstavlja BITSLOTH zlonamjerni softver. Prakse upravljanja ranjivostima treba da budu ugrađene u organizacione bezbjednosne protokole kako bi se riješile poznate bezbjednosne rupe i spriječila eksploatacija od strane zlonamjernih aktera,
- Obrazovati korisnike o taktikama društvenog inženjeringa, phishing porukama elektronske pošte i drugim metodama koje koriste zlonamjerni akteri da dobiju neovlašteni pristup sistemima. Podstaknuti jake prakse lozinki i autentifikaciju u više koraka gdje je to moguće. Redovno podsjećati zaposlene na važnost ne klikanja na sumnjive veze ili preuzimanja nepoznatih priloga,
- Sprovesti segmentaciju mreže da bi se ograničilo širenje zlonamjernog softvera unutar infrastrukture organizacije u slučaju da dođe do kompromisa. Ovo uključuje podjelu mreže na manje podmreže, od kojih svaka ima sopstvene bezbjednosne kontrole i politike pristupa. Čineći to, zlonamjernim akterima postaje teže da se kreću bočno preko cijele mreže nakon što dobiju početni pristup,
- Primjena robusna rješenja za zaštitu krajnjih uređaja koja mogu da otkriju i blokiraju zlonamjerne procese kao što je BITSLOTH pre nego što uspostave uporište u sistemu. Ovo uključuje antivirusni softver, sisteme za sprečavanje upada zasnovane na hostu (eng. host-based intrusion prevention systems – HIPS) i druge napredne tehnologije za otkrivanje prijetnji. Uz to, redovno ažurirati ova rješenja kako bi se osigurala maksimalna efikasnost protiv novih prijetnji,
- Primjenjivati snažne kontrole pristupa da bi se ograničili neovlašteni pristupi osjetljivim podacima i kritičnim komponentama infrastrukture. Koristiti princip najmanjih privilegija (eng. principle of least privilege – PoLP) da bi se korisnicima dodijelile samo neophodne dozvole potrebne za njihove funkcije posla, smanjujući potencijalne površine napada. Redovno pregledati i ažurirati politike pristupa kako bi se osiguralo da ostaju efikasne protiv prijetnji koje se razvijaju,
- Potrebno je razvijati Plan odgovora na sajber prijetnju koji opisuje jasne korake za otkrivanje, obuzdavanje, iskorjenjivanje i oporavak od infekcija zlonamjernim softverom kao što je BITSLOTH. Uvjeriti se da su svi zaposleni obučeni o svojim ulogama i odgovornostima tokom incidenta i redovno testirati plan kroz vježbe na stolu ili simulirane napade da bi se identifikovale sve slabosti i poboljšala opšta spremnost,
- Primjenjivati robusnu strategiju pravljenja rezervnih kopija i oporavka da da bi se smanjio gubitak podataka u slučaju uspješnog napada. Redovno testirati rezervne kopije i uvjeriti se da se mogu brzo i efikasno vratiti, smanjujući vreme zastoja i potencijalne finansijske gubitke usljed dužih prekida rada sistema.