Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1197
Злоумышленники могут использовать задания BITS для персистентного выполнения кода и выполнения различных фоновых задач. Windows Background Intelligent Transfer Service (BITS) - это асинхронный механизм передачи файлов с низкой пропускной способностью, доступный через Component Object Model (COM).(Цитата: Microsoft COM)(Цитата: Microsoft BITS) BITS обычно используется программами обновления, мессенджерами и другими приложениями, предпочитающими работать в фоновом режиме (используя свободную пропускную способность), не прерывая работу других сетевых приложений. Задачи передачи файлов реализуются в виде заданий BITS, которые содержат очередь из одной или нескольких файловых операций.
Интерфейс для создания и управления заданиями BITS доступен через PowerShell и инструмент BITSAdmin.(Цитата: Microsoft BITS)(Цитата: Microsoft BITSAdmin)
Злоумышленники могут использовать BITS для загрузки (например, Ingress Tool Transfer), выполнения и даже очистки после выполнения вредоносного кода (например, Indicator Removal). Задания BITS выполняются самостоятельно в базе данных заданий BITS, без создания новых файлов или модификации реестра, и часто разрешаются брандмауэрами хоста.(Цитата: CTU BITS Malware June 2016)(Цитата: Mondok Windows PiggyBack BITS May 2007)(Цитата: Symantec BITS May 2007) Выполнение заданий BITS может также обеспечивать постоянство, создавая длительные задания (максимальное время жизни по умолчанию составляет 90 дней с возможностью продления) или вызывая произвольную программу после завершения задания или ошибки (в том числе после перезагрузки системы).(Цитата: PaloAlto UBoatRAT Nov 2017)(Цитата: CTU BITS Malware June 2016)
Функции загрузки BITS также могут быть использованы для выполнения Exfiltration Over Alternative Protocol.(Цитата: CTU BITS Malware June 2016)
https://attack.mitre.org/techniques/T1197
Визуализация смежных техник для T1197
| № | Техника |
|---|
