ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1197

术语表: /attack/glossary

BITS 作业

Windows 后台智能传输服务 (BITS) 是一种低带宽、异步的文件传输机制,通过组件对象模型 (COM) 供外部调用。 更新程序、消息传递程序和其他应用程序通常使用 BITS 进行后台操作(使用可用的空闲带宽),不会中断其他联网应用程序。 文件传输任务实现为 BITS 作业,它包含一个或多个文件操作的队列。 可以通过 PowerShell 和 BITSAdmin 工具访问创建和管理 BITS 作业的接口。

攻击者可能会滥用 BITS 来下载、执行,甚至在运行恶意代码后清理痕迹。 BITS 任务在 BITS 作业数据库中是自包含的,不需要新文件或修改注册表,而且通常被主机防火墙允许。 了 BITS 启用执行还可以通过创建长期作业(默认最大生存期为 90 天,可延长)或在作业完成或出现错误(包括系统重新启动后)时调用任意程序来实现持久化 (Persistence )。

BITS 上传功能也可以用于在备用协议上进行数据渗漏 (Exfiltration Over Alternative Protocol)。

缓解

这种类型的攻击技术不能简单通过预防性控制缓解,因为它基于滥用操作系统的设计特性。 例如,禁用所有 BITS 功能可能会产生意想不到的副作用,比如阻止合法软件的补丁和更新。 应该集中精力防止攻击者工具在活动链中更早地运行以及识别后续恶意行为。

修改网络和/或主机防火墙规则以及其他网络控制,只允许合法的 BITS 流量。 考虑只允许特定用户或组访问 BITS 接口。

考虑减少组策略中的默认 BITS 作业生命周期,或者通过修改 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\BITS 中的 JobInactivityTimeoutMaxDownloadTime 注册表值。

检测

BITS 作为服务运行,可以使用 Sc 查询实用程序(sc query bits)检查其状态。 可以使用 BITSAdmin 工具 (BITSAdmin /list /allusers /verbose) 枚举 活跃的 BITS 任务。

监控 BITSAdmin 工具(特别是“Transfer”、“Create”、“AddFile”、“SetNotifyFlags”、“SetNotifyCmdLine”、“SetMinRetryDelay”、“SetCustomHeaders”和“Resume”命令选项)的使用情况,管理员和 BITS 活动的 Windows 事件日志。 还可以考虑通过分析 BITS 作业数据库来研究关于作业的更详细信息。

监控和分析由 BITS 产生的网络活动。 BITS 作业使用 HTTP(S) 和 SMB 进行远程连接,并绑定到创建该作业的用户,仅在该用户登录时才会起作用(即使用户将作业附加到服务帐户也适用)。