{"id":298064,"date":"2024-08-05T00:37:11","date_gmt":"2024-08-04T22:37:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=298064"},"modified":"2024-08-05T00:49:04","modified_gmt":"2024-08-04T22:49:04","slug":"neue-bitsloth-backdoor-entdeckt-missbraucht-den-windows-bits-dienst","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/05\/neue-bitsloth-backdoor-entdeckt-missbraucht-den-windows-bits-dienst\/","title":{"rendered":"Neue BITSLOTH-Backdoor entdeckt; missbraucht den Windows BITS-Dienst"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch eine nette Geschichte, die mir bereits letzte Woche untergekommen ist. Was ich l\u00e4nger vermutet hatte, ist best\u00e4tigt worden. Der Background Intelligent Transfer Service (BITS) l\u00e4sst sich missbrauchen. Eine neu entdeckte Windows-Backdoor BITSLOTH nutzt BITS f\u00fcr die Kommunikation mit Befehls- und Kontroll-Servern. Es wurde inzwischen ein Eindringen \u00fcber diese Backdoor in eine s\u00fcdamerikanische Regierung beobachtet. Die BITSLOTH Malware enth\u00e4lt Keylogging- und Screen-Capture-Funktionen.<\/p>\n

<\/p>\n

Was ist BITS?<\/h2>\n

\"\"Das K\u00fcrzel BITS steht f\u00fcr Background Intelligent Transfer Service; eine neue Komponente und ein Dienst in Windows 10, 11. BITS kann von Windows<\/em> verwendet werden, um Updates auf ein lokales System herunterzuladen. Die Updates k\u00f6nnen anschlie\u00dfend \u00fcber ein Netzwerk auf andere Maschinen verteilt werden. Der Dienst verwendet ungenutzte Netzwerkressourcen, um Daten \u00fcber das http-Protokoll von Servern zu ziehen. Durch den Zugriff auf ungenutzte Netzwerkressourcen sollen andere Netzwerkaktivit\u00e4ten nicht nachteilig beeinflusst werden.<\/p>\n

Der Dienst\u00a0 wird beispielsweise von Windows Update, Microsoft Update, Windows Server Update Services und Systems Management Server zum Verteilen von Software-Updates genutzt. Weiterhin findet er beispielsweise im Antivirenprogramm Microsoft Security Essentials zum Laden von Signaturdateien Verwendung. BITS kann \u00fcber eine COM-Schnittstelle angesprochen werden, was den Zugriff \u00fcber viele Programmiersprachen erm\u00f6glicht.<\/p>\n

Die BITSLOTH-Backdoor<\/h2>\n

Die Elastic Security Labs sind k\u00fcrzlich einer neuen Windows-Backdoor auf die Spur gekommen, die den Background Intelligent Transfer Service (BITS) zur Kommunikation mit den eigenen Command & Control Servern (C2) nutzt. Die neue Malware wurde bei der Analyse eines Cyberangriffs durch die Gruppe REF8747 gefunden. Nachfolgender Tweet<\/a> greift diese Information auf und verweist auf den Elastic Security Labs -Beitrag BITS and Bytes: Analyzing BITSLOTH, a newly identified backdoor<\/a>.<\/p>\n

\"BITSLOTH-Backdoor<\/a><\/p>\n

Ein Elastic Security Lab Sicherheitsteam beobachtete am 25. Juni 2024 bei der Analyse eines gehackten Systems eines Au\u00dfenministeriums einer s\u00fcdamerikanischen Regierung die Aktivit\u00e4ten der Backdoor. Der Hack wird der Cybergruppe REF8747<\/em> zugeschrieben, und in einer Serverumgebung war dort erstmals entdeckte Malware BITSLOTH installiert.<\/p>\n

Bei der Analyse fand man heraus, dass die urspr\u00fcngliche Infektion durch Ausf\u00fchrung von PSEXEC auf einem der infizierten Endpunkte erfolgt sein muss. Die Angreifer verwendeten f\u00fcr die meisten ihrer Operationen eine Reihe von \u00f6ffentlich verf\u00fcgbaren Tools, hatten aber auch die BITSLOTH-Malware als Backdoor installiert, die sich ihrerseits des Windows BITS-Diensts zur Kommunikation bediente.<\/p>\n

Bei der Analyse fanden die Sicherheitsforscher mehrere \u00e4ltere BITSLOTH-Samples, die eine Entwicklung seit Dezember 2021 belegen. Die Entwickler der Backdoor bezeichneten BITSLOTH als \"Slaver\" und den eigenen Befehls- und Kontrollserver als Master. BITSLOTH ist eine Backdoor, die gem\u00e4\u00df Analyse:<\/p>\n