[English]Noch eine nette Geschichte, die mir bereits letzte Woche untergekommen ist. Was ich länger vermutet hatte, ist bestätigt worden. Der Background Intelligent Transfer Service (BITS) lässt sich missbrauchen. Eine neu entdeckte Windows-Backdoor BITSLOTH nutzt BITS für die Kommunikation mit Befehls- und Kontroll-Servern. Es wurde inzwischen ein Eindringen über diese Backdoor in eine südamerikanische Regierung beobachtet. Die BITSLOTH Malware enthält Keylogging- und Screen-Capture-Funktionen.
Anzeige
Was ist BITS?
Das Kürzel BITS steht für Background Intelligent Transfer Service; eine neue Komponente und ein Dienst in Windows 10, 11. BITS kann von Windows verwendet werden, um Updates auf ein lokales System herunterzuladen. Die Updates können anschließend über ein Netzwerk auf andere Maschinen verteilt werden. Der Dienst verwendet ungenutzte Netzwerkressourcen, um Daten über das http-Protokoll von Servern zu ziehen. Durch den Zugriff auf ungenutzte Netzwerkressourcen sollen andere Netzwerkaktivitäten nicht nachteilig beeinflusst werden.
Der Dienst wird beispielsweise von Windows Update, Microsoft Update, Windows Server Update Services und Systems Management Server zum Verteilen von Software-Updates genutzt. Weiterhin findet er beispielsweise im Antivirenprogramm Microsoft Security Essentials zum Laden von Signaturdateien Verwendung. BITS kann über eine COM-Schnittstelle angesprochen werden, was den Zugriff über viele Programmiersprachen ermöglicht.
Die BITSLOTH-Backdoor
Die Elastic Security Labs sind kürzlich einer neuen Windows-Backdoor auf die Spur gekommen, die den Background Intelligent Transfer Service (BITS) zur Kommunikation mit den eigenen Command & Control Servern (C2) nutzt. Die neue Malware wurde bei der Analyse eines Cyberangriffs durch die Gruppe REF8747 gefunden. Nachfolgender Tweet greift diese Information auf und verweist auf den Elastic Security Labs -Beitrag BITS and Bytes: Analyzing BITSLOTH, a newly identified backdoor.
Anzeige
Ein Elastic Security Lab Sicherheitsteam beobachtete am 25. Juni 2024 bei der Analyse eines gehackten Systems eines Außenministeriums einer südamerikanischen Regierung die Aktivitäten der Backdoor. Der Hack wird der Cybergruppe REF8747 zugeschrieben, und in einer Serverumgebung war dort erstmals entdeckte Malware BITSLOTH installiert.
Bei der Analyse fand man heraus, dass die ursprüngliche Infektion durch Ausführung von PSEXEC auf einem der infizierten Endpunkte erfolgt sein muss. Die Angreifer verwendeten für die meisten ihrer Operationen eine Reihe von öffentlich verfügbaren Tools, hatten aber auch die BITSLOTH-Malware als Backdoor installiert, die sich ihrerseits des Windows BITS-Diensts zur Kommunikation bediente.
Bei der Analyse fanden die Sicherheitsforscher mehrere ältere BITSLOTH-Samples, die eine Entwicklung seit Dezember 2021 belegen. Die Entwickler der Backdoor bezeichneten BITSLOTH als "Slaver" und den eigenen Befehls- und Kontrollserver als Master. BITSLOTH ist eine Backdoor, die gemäß Analyse:
- selbst ausführen Befehle oder von anderen Komponenten ausführen lassen kann
- das Hoch- und Herunterladen von Dateien ermöglicht
- das Durchführen von Aufzählungen und Erkennung unterstützt
- zum Sammeln sensibler Daten durch Keylogging und Screen-Capturing herangezogen werden kann.
Die Sicherheitsforscher beschreiben in ihrem Beitrag die Erkenntnisse aus der Analyse der Malware und merken beispielsweise an, dass über einen Mutex (gegenseitige Ausschlusssperre) sichergestellt wird, dass nur eine Instanz läuft. Im Beitrag werden auch Informationen zur Erkennung einer Infektion genannt sowie YARA-Regel zur Detektion bereitgestellt.
Anzeige
It's a feature.
BITS ist doch nicht erst bei 10 gekommen?
IIRC war auch schon bei 7/8 dabei, das LAN(!) unbrauchbar zu machen, wenn es ein großes Update gab, weil MS zu dumme Leute hatte, das die wirklich im Hintergrund haben laufen können…
BITS gibt es in Grundzügen seit Windows XP – als Microsoft die Update-Problematik mal so richtig angegangen hat.
Wurde dann sogar auf 2000 SP4 zurückportiert.
In einem größeren LAN hat BITS nichts zu suchen (und sollte durch Setzen der Vordergrundpriorität) deaktiviert werden.
Das Hauptproblem ist, daß BITS nur die Sicht der einzelnen Arbeitsstation und ihres LAN-Interfaces hat. Hier kann man prima Lücken im Surfverhalten des Nutzers finden und nutzen, ohne ihn auszubremsen.
Was fehlt ist die Sicht auf das ganze LAN und die benachbarten Stationen. Wenn alle etwa gleichzeitig eingeschaltet werden, erzeugen sie (trotz einer gewissen Randomisierung) auch alle etwa gleichzeitig Last.
Für Unternehmens-Lans bietet Microsoft ja auch seit etwa dieser Zeit Updatedienste an, der Vorgänger vom WSUS (hieß damals SUS) bestand einfach aus ein paar .ASPs auf einem IIS – inzwischen ist ein Serverdienst dazugekommen.
BITS gibt es seit Oktober 2001, seit Windows XP:
en[.]wikipedia[.]org/wiki/Background_Intelligent_Transfer_Service
Ab der Version 1.5, die im Jahr 2003 mit Windows Server 2003 veröffentlicht wurde, kann BITS auch Upload.
BITS misst nicht wirklich die verfügbare Bandbreite, sondern hält sich an die Rückmeldung des NIC-Treibers. Wenn der NIC meldet, er kann (theoretisch) 10 Mbit/s oder 1 GBit/s Bandbreite, dann glaubt BITS das. Wenn der NIC aber über eine langsame Verbindung angeschlossen ist, dann berechnet BITS die tatsächlich verfügbare Bandbreite falsch und belegt viel mehr echte Bandbreite als die gewollten 20 Prozent der theoretischen Bandbreite.
20 % von einer theoretischen 1 GBit/s Verbindung sind zB nunmal mehr als 100 Prozent einer realen 56 KBit/s Verbindung.
learn[.]microsoft[.]com/de-de/windows/win32/bits/network-bandwidth?redirectedfrom=MSDN
Um dieses Problem zu lösen, versucht BIST ab der Version 3.0 die Bandbreite anders zu berechnen, nämlich mit Internet Gateway Device counters, falls diese verfügbar sind.
Da ich Updates immer nur manuell aus dem Microsoft-Catalog hole, habe ich den BITS-Dienst deaktiviert.
Das Problem erledigt sich, wenn man einen Proxy mit Authentifizierung einsetzt, und Clients und Server nur darüber raus können. BITS kann dann nicht mehr raus funken und kann nur noch mit dem internen WSUS (oder vergleichbar) kommunizieren.
Oder einfach gleich den Windowschrott abschaffen und auf was Vernünftiges setzen.
Gibt es eigentlich noch IRGENDWAS von MS, was ohne gravierende Probleme daherkommt?
Das ist so eine "Heise-Forums-Aussage", absolut fernab jeglicher Realitäten.
Warum tätigst du sie dann?
Ich könnte dir mal ne Softwareliste von Produkten, die wir einsetzten, übermitteln und dann erzählst du mir, was davon auf Linux oder anderen auch unsicheren Systemen laufen könnte. Es ist nun mal überwiegend Software im Einsatz, die nur Windows unterstützt. Was ist daran nicht zu verstehen.
Er hat schon recht ,aber das werden die Fanboys und MS Trolle wie du nie verstehen.
Trolle bitte nicht füttern – Danke!
Und Menschen die Realitätsfern sind wie Ihr auch nicht. Das hat mit Trollen nichts zu tun Das ist auch so ein hilfloser Spruch.
Ich war mal ein überzeugter Novell NetWare Jünger. Wir waren 2x auf der BrainShare in Nizza eingeladen. Wir haben damals Tränen über MS gelacht. GroupWise war damals unser Outlook. Server-Betriebssystem mit Bildschirmschoner – alles klar. Wo ist heute Novell? Was aber immer geblieben ist, ist Windows als Client Betriebssystem und so wird es auch bleiben.
Funfact, der die MS Jünger immer wieder hart trifft: die meisten Clients laufen längst mit nem Mobile-System, also IOS oder Android – nix mit Windows ;-)
Aha und?
ich zitiere mal lachend: "Was aber immer geblieben ist, ist Windows als Client Betriebssystem und so wird es auch bleiben."
Und läuft da auch Photoshop und SAP drauf? Kannst du auf dem Glas seitenweise Texte tippen?
Ganz tolle Wurst, lecker!
Läuft mittlerweile beides im Browser, mal wieder dumm gelaufen für den MS Troll :-)
Und Fotos auf so einem Minimonitor zu bearbeiten ist auch wirklich ganz toll. Das selbe gillt auch für Warenwirtschaft, Personalmanagement usw. Bekommt man zu dem Smartphone wenigstens ne Lupe dabei?
Eieiei, er konstruiert sich wieder seine Welt, der Kleine, weil er meint, dass ihm seine Rassel weggenommen werden könnte :-)
Immer wieder lustig.
Wenn du mal erwachsen wirst und dich hier liest, versinkst du vermutlich vor Scham im Boden :-)
>>> Ich war mal ein überzeugter Novell NetWare Jünger. <<<
Ich war mal ein überzeugter VMS und Ultrix Jünger. Ich habe damals Tränen über Novell und Microsoft gelacht. Heute bin ich nur noch ein streng riechender Boomer und Windows immer noch Sch…
Rege dich nicht auf. Lohnt sich nicht.
Leute die so etwas schreiben, haben noch nie als ITler in einem größeren Unternehmen gearbeitet und versuchen die "heile Welt" ihrer drei Linux-Kisten im Keller auf die ges. Welt zu projizieren.
Oder haben einfach die Grundintelligenz, dass es durchaus auch ohne allzu tief im MS Hintern zu stecken funkionieren kann. ;-)
So sieht es aus. Danke. Das sind Realitätsverweigerer oder schlicht – Luftpumpen.
Was genau ändert ein Proxy?
I.d.R wird man ihn transparent mit den Windows-Credentals authentifizieren, dann hat man zwar ein schönes Log mit Benutzernamen statt IP, aber mehr auch nicht.
Sicher kann man Blacklisten pflegen (mein Favorit: Dr. Watson) und auch Windows-Updates sperren, aber wenn der Client überhaupt versucht die zu laden, liegt eine Fehlkonfiguration vor, die in einer verwalteten Umgebung nicht vorkommen sollte.
Zumal es inzwischen auch andere Programme gibt, die BITS-Jobs erstellen.
>>> Was genau ändert ein Proxy? <<<
Spontan, ich hab 's aber nicht zu Ende bedacht: Dass – wie 1ST1 ja sagt – BITS nicht mehr raus kommt! Raus käme er nur noch, wenn man den Parameter "usage" (1) auf einen der Werte MANUAL_PROXY, AUTODETECT oder AUTOSCRIPT setzte und dafür sorgte, dass der hinter AUTODETECT stehende Automatismus nichts zurückliefert.
(1) learn.microsoft.com/en-us/windows-server/administration/windows-commands/bitsadmin-util-and-setieproxy
Korrektur:
falsch: "dass der hinter AUTODETECT stehende Automatismus nichts zurückliefert."
richtig: dass der hinter AUTODETECT stehende Automatismus einen benutzbaren Proxy zurück liefert
>>> Was ich länger vermutet hatte, ist bestätigt worden. Der Background Intelligent Transfer Service (BITS) lässt sich missbrauchen. <<<
Was ich schon länger wusste, ist wieder einmal eingetreten ;-)
BITS ist seit spätestens 2018 (1) als Vehikel und Bestandteil von Malware bekannt.
(1) attack.mitre.org/techniques/T1197/
Warum überrascht mich das nicht sonderlich? Seit Jahren wird per GPO der Proxy nur im Firefox hinterlegt. Nur im Firefox, damit der Rest vom Müll nicht rausfunken kann. Habe ich anfangs nur bei Servern praktiziert und seit mehreren Jahren auch bei Clients.
Wer seine Windows-Rechner im (Unternehmens)-Netzwerk im Jahr 2024 noch immer unkontrolliert ins Netz funken lässt, dem kann man bei bestem Willen nicht mehr helfen.
>>> Seit Jahren wird per GPO der Proxy nur im Firefox hinterlegt. Nur im Firefox, damit der Rest vom Müll nicht rausfunken kann. <<<
Das verstehe wer will. Was Sie dem Firefox per GPO als https-Proxy zuweisen, interessiert weder andere Anwendungen noch das Betriebssystem. Warum Sie glauben, so Sicherheit gewonnen zu haben, bleibt Ihr Geheimnis.
> Das verstehe wer will. Was Sie dem Firefox per GPO als https-Proxy zuweisen, interessiert weder andere Anwendungen noch das Betriebssystem.
Du verstehst es nicht. Ein Offline-Windows ist ein Sicherheitsfeature und zusammen mit SRPs die einzige Art und Weise, es sicher und datenschutzkonform zu betreiben. Während ein Normaluser mit dem Firefox normal im Netz surfen kann, kann das System weder Telemetriedaten noch irgendein Script, Makro eine Payload nachladen.
Nur damit Du weißt, was die vordringlichste Aufgabe eines jeden Admins ist: Zugänge und Schnittstellen kontrollieren!
Gerade dann, wenn ganze Netze voneinander segmentiert/isoliert sind. Dann kann es mir herzlich egal sein, was da im intransparenten AD vorgeht. Und da müssen wir nicht drüber diskutieren, ein AD ist das schwächste Glied der Kette. Silver und Golden Tickets sind mit mimikatz in Sekunden extrahiert. Jeder Speicherdump der LSA aus dem Task-Manger dazu ausreichend.
"Was ich länger vermutet hatte, ist bestätigt worden. Der Background Intelligent Transfer Service (BITS) lässt sich missbrauchen."
Günter, was soll dieser BLÖDSINN?
Für gans Doove: JEDES Windows-Programm kann ALLE von Windows bereitgestellte Schnittstellen missbrauchen!
Es ist WURSCHT, ob ein Schädling BITS, http://ftp.exe, curl.exe, winhttp.dll, Windows Script Host, INet*, .NET, PoserShell, SSH, den installierten Web-Browser etc. zur Kommunikation oder zum Nachladen weiterer Schädlinge nutzt.
WICHTIG ist, dass Otto Normalmissbraucher solche Schädlinge NICHT ausführen kann: siehe https://skanthak.homepage.t-online.de/SAFER.html