通过 Windows BITS 的入站传输

编辑

通过 Windows BITS 的入站传输

编辑

识别通过 Windows 后台智能传输服务 (BITS) 下载可执行文件和存档文件的情况。攻击者可能会利用 Windows BITS 传输作业下载远程有效负载。

规则类型: eql

规则索引:

logs-endpoint.events.file-*

严重性: 低

风险评分: 21

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另请参阅 附加回溯时间)

每次执行的最大告警数: 100

参考资料:

https://attack.mitre.org/techniques/T1197/

标签:

领域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
战术：命令与控制
数据源：Elastic Defend

版本: 8

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过 Windows BITS 的入站传输

Windows 后台智能传输服务 (BITS) 是一种允许客户端和服务器之间传输文件的技术，这使其成为一种双重用途机制，既可用于合法应用程序，也可用于攻击者。当恶意应用程序创建 BITS 作业时，文件将在服务主机进程的上下文中下载或上传，这可以绕过安全保护，并有助于掩盖请求传输的应用程序。

此规则通过监控涉及 Windows 系统上“svchost.exe”和“BIT*.tmp”的文件重命名事件来识别此类滥用。

注意: 此调查指南使用 Elastic Stack 版本 8.5.0 中引入的 Osquery Markdown 插件。较旧的 Elastic Stack 版本将在此指南中显示未呈现的 Markdown。

可能的调查步骤

了解 BITS 传输的上下文。
尝试确定启动 BITS 传输的进程。
搜索 bitsadmin.exe 进程并检查其命令行。
查找加载 Bitsproxy.dll 和其他与 BITS 相关的 DLL 的异常进程。
尝试确定文件的来源。
检查由 svchost.exe 发起的网络连接。
检查 Microsoft-Windows-Bits-Client/Operational Windows 日志，特别是事件 ID 59，以查找异常事件。
Velociraptor 可用于使用 bitsadmin 工件提取这些条目。
使用威胁情报平台或在线信誉服务检查参与 BITS 传输的远程服务器（例如其 IP 地址或域名）的信誉。
检查域名是否为新注册或意外域名。
使用已识别的域名作为入侵指标 (IoC) 来确定环境中其他受感染的主机。
BitsParser 可用于解析 BITS 数据库文件以提取 BITS 作业信息。
检查已删除文件的详细信息，以及它是否已执行。
调查过去 48 小时内与用户/主机关联的其他告警。
检查主机以查找指示可疑活动的派生工件
使用私有沙箱分析系统分析相关可执行文件。
观察并收集有关沙箱和告警主题主机中以下活动的信息
尝试联系外部域名和地址。
使用 Elastic Defend 网络事件通过按进程的 process.entity_id 过滤来确定受试进程联系的域名和地址。
检查 DNS 缓存中是否存在可疑或异常条目。
!{osquery{"label":"Osquery - 检索 DNS 缓存","query":"SELECT * FROM dns_cache"}}
使用 Elastic Defend 注册表事件检查由进程树中相关进程访问、修改或创建的注册表项。
检查主机服务中是否存在可疑或异常条目。
!{osquery{"label":"Osquery - 检索所有服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services"}}
!{osquery{"label":"Osquery - 检索在用户帐户上运行的服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services WHERE\nNOT (user_account LIKE %LocalSystem OR user_account LIKE %LocalService OR user_account LIKE %NetworkService OR\nuser_account == null)\n"}}
!{osquery{"label":"Osquery - 检索具有 Virustotal 链接的未签名可执行服务","query":"SELECT concat(https://www.virustotal.com/gui/file/, sha1) AS VtLink, name, description, start_type, status, pid,\nservices.path FROM services JOIN authenticode ON services.path = authenticode.path OR services.module_path =\nauthenticode.path JOIN hash ON services.path = hash.path WHERE authenticode.result != trusted\n"}}
使用 PowerShell Get-FileHash cmdlet 检索文件的 SHA-256 哈希值，并在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希的存在和信誉。

误报分析

规则的已知误报包括使用 BITS 下载文件的合法软件和系统更新。

相关规则

通过 BITS 作业通知 Cmdline 持久化 - c3b915e0-22f3-4bf7-991d-b643513c722f
未签名的 BITS 服务客户端进程 - 9a3884d0-282d-45ea-86ce-b9c81100f026
Bitsadmin 活动 - 8eec4df1-4b4b-4502-b6c3-c788714604c9

响应和修复

根据分类结果启动事件响应流程。
如果确认存在恶意活动，请进行更广泛的调查以识别入侵范围并确定适当的修复步骤。
隔离相关主机以防止进一步的入侵后行为。
如果分类识别出恶意软件，请在环境中搜索其他受感染的主机。
实施临时网络规则、程序和分段以遏制恶意软件。
停止可疑进程。
立即阻止已识别的入侵指标 (IoC)。
检查受影响的系统是否存在其他恶意软件后门，例如反向 shell、反向代理或攻击者可能用来重新感染系统的 dropper。
删除并阻止分类期间识别的恶意工件。
通过应用任何必要的修补程序、更新或配置更改，将受影响的系统恢复到其操作状态。
调查受感染系统或攻击者使用的系统上的凭据泄露，以确保识别所有受感染的帐户。重置这些帐户的密码和其他可能受感染的凭据，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会发现系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体重新感染。
使用事件响应数据更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

file where host.os.type == "windows" and event.action == "rename" and
  process.name : "svchost.exe" and file.Ext.original.name : "BIT*.tmp" and
  (file.extension : ("exe", "zip", "rar", "bat", "dll", "ps1", "vbs", "wsh", "js", "vbe", "pif", "scr", "cmd", "cpl") or
   file.Ext.header_bytes : "4d5a*") and

  /* noisy paths, for hunting purposes you can use the same query without the following exclusions */
  not file.path : ("?:\\Program Files\\*", "?:\\Program Files (x86)\\*", "?:\\Windows\\*", "?:\\ProgramData\\*\\*") and

  /* lot of third party SW use BITS to download executables with a long file name */
  not length(file.name) > 30 and
  not file.path : (
        "?:\\Users\\*\\AppData\\Local\\Temp*\\wct*.tmp",
        "?:\\Users\\*\\AppData\\Local\\Adobe\\ARM\\*\\RdrServicesUpdater*.exe",
        "?:\\Users\\*\\AppData\\Local\\Adobe\\ARM\\*\\AcroServicesUpdater*.exe",
        "?:\\Users\\*\\AppData\\Local\\Docker Desktop Installer\\update-*.exe"
  )

框架: MITRE ATT&CK^TM

战术
- 名称：命令与控制
- ID：TA0011
- 参考网址：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：入站工具传输
- ID：T1105
- 参考网址：https://attack.mitre.org/techniques/T1105/
战术
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：BITS 作业
- ID：T1197
- 参考网址：https://attack.mitre.org/techniques/T1197/

« 通过 Forfiles/Pcalua 执行间接命令 » 添加不安全的 AWS EC2 VPC 安全组入站规则 »