Windows kullanıcıları için en son tehdit, komuta ve kontrol mekanizması için Arka Plan Akıllı Aktarım Hizmeti’ni (BITS) kullanan sofistike bir arka kapı olan BITSLOTH biçiminde keşfedildi. Bu yazın başlarında, kötü amaçlı yazılım, LATAM bölgesindeki bir Güney Amerika hükümetinin Dışişleri Bakanlığı’na izinsiz giriş girişiminin tespiti sırasında tespit edilmişti, ancak kamuya açık olarak belgelenmemiş ve birkaç yıldır geliştirildiğine inanılıyor.
Birkaç yıldır geliştirilmekte olan BITSLOTH arka kapısı, tuş kaydı, ekran yakalama, keşif, numaralandırma ve komut satırı yürütme yetenekleri de dahil olmak üzere 35 işleyici işlevi içerir. Bu özellikler, aracın hedeflerden veri sızdırmak için tasarlandığını göstermektedir.
BITSLOTH Arka Kapı Yetenekleri ve Özellikleri
BITSLOTH saldırısı ilk olarak 25 Haziran’da bir olay müdahalesi sırasında gözlemlendi. Elastic Labs’tan araştırmacılar, saldırganların operasyonları için çeşitli genel kullanıma açık araçlar kullandığını ve BITSLOTH’un tek özel kötü amaçlı yazılım bileşeni olduğunu gözlemledi.
BITSLOTH yürütmesinin temel biçimlerinden biri, herhangi bir Windows yürütülebilir dosyasını bir metin dosyasına yerleştirdikten sonra özel kabuk kodu üretmeye dönüştürebilen, kabuk kodu yan yüklemesi için tasarlanmış ‘RINGQ’ adlı bir programın kullanılmasıydı. Bu sayede kötü amaçlı yazılımın, popüler kötü amaçlı yazılım önleme programlarındaki karma tabanlı engelleme listelerini veya statik imza savunmalarını aşması sağlanıyordu.
BITSLOTH kötü amaçlı yazılımı, daha eski örneklerin keşfiyle kanıtlandığı üzere, en azından Aralık 2021’den beri aktif olarak geliştirilmektedir. Geliştirici, istemci bileşeninden ‘Slaver’ ve C2 sunucusundan ‘Master’ olarak bahsetmektedir.
Dikkat çeken özelliklerden biri, C2 iletişimi için BITS’in kullanılmasıdır. BITS, dosya transferlerini etkinleştiren bir Windows sistem yönetimi özelliğidir ve yazılım güncellemeleriyle tipik ilişkisi, güvenlik çözümleri tarafından sıklıkla göz ardı edilen güvenilir trafik olarak görünmesini sağlar.
BITSLOTH, ‘WU İstemci İndirme’ gibi belirli görüntüleme adlarıyla eşleşen kurban makinesindeki mevcut BITS işlerini iptal ederek temiz bir durumdan çalışır. Daha sonra, kötü amaçlı yazılımı zararsız bir rutin güncelleme olarak gizleyerek ‘Microsoft Windows’ adlı yeni bir BITS indirme işi oluşturur.
BITS iş durumu değiştiğinde, BITSLOTH SetNotifyCmdLine işlevi aracılığıyla yürütülür ve enfekte sistemde kalıcılık sağlanır. Daha sonra kötü amaçlı yazılım, kurbanın MAC adresini içeren istek URL’siyle “WU İstemci İndirme” işini kullanarak C2 sunucusundan talimatlar istemeye başlar.
BITSLOTH arka kapısı, saldırganların komutları çalıştırma, dosyaları yükleme ve indirme ve tuş kaydı ve ekran yakalama yoluyla hassas verileri toplama gibi çok çeşitli etkinlikler gerçekleştirmesine olanak tanıyan 35 komut işleyici işlevine sahiptir. C2 sunucusundan alınan komutlar, yürütmeden önce tek baytlık bir XOR (0x2) kullanılarak gizlenir.
Azim ve İletişim
BITSLOTH, hedef URL’yi meşru görünen bir etki alanına ayarlayan ‘Microsoft Windows’ adlı oluşturulmuş BITS zamanlanmış işi aracılığıyla kalıcılığa ulaşır. Bu benzersiz araç işareti, araştırmacıların kötü amaçlı yazılım ailesinin birkaç yıldır dolaşımda olduğunu gösteren ek örneklere yönelmesine olanak sağladı. Kötü amaçlı yazılım, ilk enfeksiyondan sonra sistemlerde kalmak için çeşitli kalıcılık yetenekleriyle yapılandırılmıştır.
İstek URL’si, MAC adresinin sabit kodlanmış bir dizeyle birleştirilmesiyle oluşturulur ve yanıt olarak kötü amaçlı yazılım, iş için benzersiz bir kimlik, işleyici için komut kimliği ve bir yanıt belirteci içeren 12 baytlık bir yapı alır.
BITSLOTH, gizlilik özelliği ve kapsamlı yetenekleri nedeniyle hedefler açısından önemli bir tehdit oluşturuyor. Araştırmacılar, kuruluşların ve kurumların BITSLOTH kötü amaçlı yazılımının sistemlere olası izinsiz girişini ve arka kapısının dağıtımını tespit etmelerine yardımcı olmak için bir dizi tehlike göstergesi paylaştı.