Техника на mitre.org

T1197: Задания BITS

Злоумышленники могут использовать задания BITS для систематического выполнения кода и различных фоновых задач. Windows Background Intelligent Transfer Service (BITS) — это нересурсоемкий асинхронный механизм передачи файлов, доступный через COM-модель. BITS обычно используется программами обновления, мессенджерами и другими приложениями, ориентированными на работу в фоновом режиме. BITS задействует неиспользуемую часть пропускной способности сети и не мешает работе других сетевых приложений. Передача файлов организуется в виде заданий BITS, которые содержат очередь из одной или нескольких файловых операций.

Интерфейс для создания заданий BITS и управления ими доступен через PowerShell и инструмент командной строки BITSAdmin.

Злоумышленники могут использовать BITS для загрузки файлов (например, при передаче инструментов из внешней сети), запуска вредоносного кода и даже удаления следов после его выполнения (см. Устранение индикаторов). Задания BITS содержатся в базе данных заданий BITS, не требуют новых файлов или изменений в реестре и часто не блокируются межсетевыми экранами хостов. Такие возможности BITS, как создание долговременных заданий (максимальный срок действия по умолчанию составляет 90 дней с возможностью продления) или запуск произвольной программы по завершении задания или возникновении ошибки (в том числе после перезагрузки системы), могут обеспечить закрепление в системе.

Функции BITS для выгрузки файлов также могут быть использованы для эксфильтрации по альтернативному протоколу.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-203: BitsJob_Download_And_Run: Обнаружена попытка загрузить или запустить приложение при помощи средства командной строки Microsoft Windows "bitsadmin" hacking_tools: PT-CR-351: Koadic_Bitsadmin_Stager: Обнаружено возможное использование программного обеспечения Koadic через "BITSAdmin"

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд через средство BITSAdmin и их аргументы (особенно такие команды, как `Transfer`, `Create`, `AddFile`, `SetNotifyFlags`, `SetNotifyCmdLine`, `SetMinRetryDelay`, `SetCustomHeaders` и `Resume`), а также операции с BITS, зарегистрированные в журналах администратора, журналах PowerShell и журналах событий Windows. По возможности анализируйте базу данных заданий BITS для получения подробной информации о заданиях.

ID	DS0019	Источник и компонент данных	Служба: Метаданные службы	Описание	BITS запускается как служба, и ее статус можно проверить с помощью операции query в утилите SC (`sc query bits`).

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание заданий BITS с помощью инструмента BITSAdmin (bitsadmin /list /allusers /verbose). Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика 1 отслеживает создание процессов утилиты Microsoft Background Intelligent Transfer Service (bitsadmin.exe), которые запускают задание BITS по расписанию для закрепления на конечном устройстве. Аналитика выявляет параметры командной строки, которые использовались для создания, возобновления или добавления файла к заданию BITS; чаще всего они выполняются одной командной строкой или последовательно. Аналитика 2 отслеживает запуск утилиты Microsoft Background Intelligent Transfer Service (`bitsadmin.exe`), загружающей удаленный объект с помощью параметра `transfer`. Кроме того, отслеживайте выполнение команд с параметрами `download` и `upload` в командной строке — они могут использоваться при передаче данных, но не являются обязательными. Проверяйте все загруженные файлы. Проверяйте репутацию используемого IP-адреса или домена. Как правило, после выполнения этой команды выполняется другая команда, запускающая загруженный файл. Процесс `bitsadmin.exe` не порождает и не создает связанные события сетевого подключения или модификации файла, однако появляются артефакты в параллельном процессе `svchost.exe` в виде командной строки типа `svchost.exe -k netsvcs -s BITS`. Поэтому важно отслеживать подозрительное поведение и артефакты во всех параллельных и дочерних процессах. В некоторых сценариях подозрительной или вредоносной активности создаются задания BITS. Во время расследования можно использовать команду `bitsadmin /list /verbose` для получения списка этих заданий. Аналитика 1. Использование заданий BITS для закрепления `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="C:\Windows\System32\bitsadmin.exe" AND (CommandLine= "create" OR CommandLine= "addfile" OR CommandLine= "setnotifyflags" OR CommandLine= "setnotifycmdline" OR CommandLine= "setminretrydelay" OR CommandLine= "setcustomheaders" OR CommandLine= "resume")` Аналитика 2. Загрузка файла через BITSAdmin `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="C:\Windows\System32\bitsadmin.exe" AND CommandLine= transfer`

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте сетевую активность службы BITS. Для удаленных подключений в заданиях BITS используются протоколы HTTP(S) и SMB. Задания привязаны к пользователю, который их создал, и будут работать только в случае его входа в систему, даже если задание прикреплено к учетной записи службы.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд через средство BITSAdmin и их аргументы (особенно такие команды, как `Transfer`, `Create`, `AddFile`, `SetNotifyFlags`, `SetNotifyCmdLine`, `SetMinRetryDelay`, `SetCustomHeaders` и `Resume`), а также операции с BITS, зарегистрированные в журналах администратора, журналах PowerShell и журналах событий Windows. По возможности анализируйте базу данных заданий BITS для получения подробной информации о заданиях.
DS0019	Служба: Метаданные службы	BITS запускается как служба, и ее статус можно проверить с помощью операции query в утилите SC (`sc query bits`).
DS0009	Процесс: Создание процесса	Отслеживайте создание заданий BITS с помощью инструмента BITSAdmin (bitsadmin /list /allusers /verbose). Примечание. Указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика 1 отслеживает создание процессов утилиты Microsoft Background Intelligent Transfer Service (bitsadmin.exe), которые запускают задание BITS по расписанию для закрепления на конечном устройстве. Аналитика выявляет параметры командной строки, которые использовались для создания, возобновления или добавления файла к заданию BITS; чаще всего они выполняются одной командной строкой или последовательно. Аналитика 2 отслеживает запуск утилиты Microsoft Background Intelligent Transfer Service (`bitsadmin.exe`), загружающей удаленный объект с помощью параметра `transfer`. Кроме того, отслеживайте выполнение команд с параметрами `download` и `upload` в командной строке — они могут использоваться при передаче данных, но не являются обязательными. Проверяйте все загруженные файлы. Проверяйте репутацию используемого IP-адреса или домена. Как правило, после выполнения этой команды выполняется другая команда, запускающая загруженный файл. Процесс `bitsadmin.exe` не порождает и не создает связанные события сетевого подключения или модификации файла, однако появляются артефакты в параллельном процессе `svchost.exe` в виде командной строки типа `svchost.exe -k netsvcs -s BITS`. Поэтому важно отслеживать подозрительное поведение и артефакты во всех параллельных и дочерних процессах. В некоторых сценариях подозрительной или вредоносной активности создаются задания BITS. Во время расследования можно использовать команду `bitsadmin /list /verbose` для получения списка этих заданий. Аналитика 1. Использование заданий BITS для закрепления `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="C:\Windows\System32\bitsadmin.exe" AND (CommandLine= "create" OR CommandLine= "addfile" OR CommandLine= "setnotifyflags" OR CommandLine= "setnotifycmdline" OR CommandLine= "setminretrydelay" OR CommandLine= "setcustomheaders" OR CommandLine= "resume")` Аналитика 2. Загрузка файла через BITSAdmin `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image="C:\Windows\System32\bitsadmin.exe" AND CommandLine= transfer`
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте сетевую активность службы BITS. Для удаленных подключений в заданиях BITS используются протоколы HTTP(S) и SMB. Задания привязаны к пользователю, который их создал, и будут работать только в случае его входа в систему, даже если задание прикреплено к учетной записи службы.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	По возможности ограничьте доступ к интерфейсу BITS для отдельных пользователей или групп.

ID	M1028	Название	Изменение конфигурации ОС	Описание	По возможности сократите время выполнения задания BITS по умолчанию в групповой политике или путем редактирования значений `JobInactivityTimeout` и `MaxDownloadTime` реестра в `HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\BITS`.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Измените правила межсетевого экрана сети и (или) хоста, а также другие средства контроля сети, чтобы разрешить только легитимный трафик BITS.

ID	Название	Описание
M1018	Управление учетными записями	По возможности ограничьте доступ к интерфейсу BITS для отдельных пользователей или групп.
M1028	Изменение конфигурации ОС	По возможности сократите время выполнения задания BITS по умолчанию в групповой политике или путем редактирования значений `JobInactivityTimeout` и `MaxDownloadTime` реестра в `HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\BITS`.
M1037	Фильтрация сетевого трафика	Измените правила межсетевого экрана сети и (или) хоста, а также другие средства контроля сети, чтобы разрешить только легитимный трафик BITS.