通过 Windows BITS 进行入口传输

编辑

通过 Windows BITS 进行入口传输

编辑

识别通过 Windows 后台智能传输服务 (BITS) 下载可执行文件和存档文件的行为。攻击者可能会利用 Windows BITS 传输作业来下载远程有效负载。

规则类型: eql

规则索引:

logs-endpoint.events.file-*

严重性: 低

风险评分: 21

运行频率: 5 分钟

搜索索引起始于: now-9m (日期数学格式，另请参见 额外的回溯时间)

每次执行的最大警报数: 100

参考:

https://attack.mitre.org/techniques/T1197/

标签:

域：端点
操作系统：Windows
用例：威胁检测
战术：防御规避
战术：命令和控制
数据源：Elastic Defend

版本: 8

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过 Windows BITS 进行的入口传输

Windows 后台智能传输服务 (BITS) 是一种允许在客户端和服务器之间传输文件的技术，这使其成为一种双重用途机制，既可以被合法的应用程序使用，也可以被攻击者使用。当恶意应用程序创建 BITS 作业时，文件会在服务宿主进程的上下文中下载或上传，这可以绕过安全保护，并有助于模糊请求传输的应用程序。

此规则通过监视 Windows 系统上涉及“svchost.exe”和“BIT*.tmp”的文件重命名事件来识别此类滥用行为。

注意: 本调查指南使用 Elastic Stack 8.5.0 版本中引入的 Osquery Markdown 插件。较旧的 Elastic Stack 版本将在此指南中显示未渲染的 Markdown。

可能的调查步骤

获取有关 BITS 传输的上下文信息。
尝试确定启动 BITS 传输的进程。
搜索 bitsadmin.exe 进程并检查其命令行。
查找加载 Bitsproxy.dll 和其他 BITS 相关 DLL 的异常进程。
尝试确定文件的来源。
检查由 svchost.exe 启动的网络连接。
检查 Microsoft-Windows-Bits-Client/Operational Windows 日志，特别是事件 ID 59，以查找异常事件。
可以使用 Velociraptor 使用 bitsadmin 工件提取这些条目。
使用威胁情报平台或在线信誉服务检查 BITS 传输中涉及的远程服务器的信誉，例如其 IP 地址或域名。
检查域是否为新注册或意外的。
使用已识别的域作为入侵指标 (IoC) 来确定环境中其他受感染的主机。
BitsParser 可用于解析 BITS 数据库文件以提取 BITS 作业信息。
检查删除文件的详细信息，以及它是否已执行。
调查过去 48 小时内与用户/主机相关的其他警报。
检查主机是否有表明可疑活动的派生工件
使用私有沙盒分析系统分析涉及的可执行文件。
观察并收集有关沙盒和警报主体主机中以下活动的信息
尝试联系外部域和地址。
使用 Elastic Defend 网络事件，通过按进程的 process.entity_id 进行筛选，确定主体进程联系的域和地址。
检查 DNS 缓存中是否有可疑或异常的条目。
!{osquery{"label":"Osquery - 检索 DNS 缓存","query":"SELECT * FROM dns_cache"}}
使用 Elastic Defend 注册表事件检查进程树中相关进程访问、修改或创建的注册表项。
检查主机服务中是否有可疑或异常的条目。
!{osquery{"label":"Osquery - 检索所有服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services"}}
!{osquery{"label":"Osquery - 检索在用户帐户上运行的服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services WHERE\nNOT (user_account LIKE %LocalSystem OR user_account LIKE %LocalService OR user_account LIKE %NetworkService OR\nuser_account == null)\n"}}
!{osquery{"label":"Osquery - 检索带有 Virustotal 链接的服务未签名可执行文件","query":"SELECT concat(https://www.virustotal.com/gui/file/, sha1) AS VtLink, name, description, start_type, status, pid,\nservices.path FROM services JOIN authenticode ON services.path = authenticode.path OR services.module_path =\nauthenticode.path JOIN hash ON services.path = hash.path WHERE authenticode.result != trusted\n"}}
使用 PowerShell Get-FileHash cmdlet 检索文件的 SHA-256 哈希值，并在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希值的存在和信誉。

误报分析

此规则的已知误报包括使用 BITS 下载文件的合法软件和系统更新。

相关规则

通过 BITS 作业通知 Cmdline 持久化 - c3b915e0-22f3-4bf7-991d-b643513c722f
未签名的 BITS 服务客户端进程 - 9a3884d0-282d-45ea-86ce-b9c81100f026
Bitsadmin 活动 - 8eec4df1-4b4b-4502-b6c3-c788714604c9

响应和补救

根据分类结果启动事件响应过程。
如果确认存在恶意活动，请执行更广泛的调查，以确定入侵范围并确定适当的补救步骤。
隔离涉及的主机以防止进一步的入侵后行为。
如果分类确定了恶意软件，请在环境中搜索其他受感染的主机。
实施临时的网络规则、程序和分段，以遏制恶意软件。
停止可疑进程。
立即阻止已识别的入侵指标 (IoC)。
检查受影响的系统是否有其他恶意软件后门，如反向 Shell、反向代理或投递器，攻击者可以使用这些后门来重新感染系统。
删除并阻止分类期间识别出的恶意工件。
通过应用任何必要的补丁、更新或配置更改，将受影响的系统恢复到其正常运行状态。
调查受感染系统或攻击者使用的系统上的凭据暴露情况，以确保识别所有受感染的帐户。重置这些帐户和其他可能泄露的凭据的密码，例如电子邮件、业务系统和 Web 服务。
运行完整的反恶意软件扫描。这可能会显示系统中遗留的其他工件、持久化机制和恶意软件组件。
确定攻击者滥用的初始向量，并采取行动以防止通过同一向量重新感染。
使用事件响应数据，更新日志记录和审计策略，以提高检测平均时间 (MTTD) 和响应平均时间 (MTTR)。

规则查询

编辑

file where host.os.type == "windows" and event.action == "rename" and
  process.name : "svchost.exe" and file.Ext.original.name : "BIT*.tmp" and
  (file.extension : ("exe", "zip", "rar", "bat", "dll", "ps1", "vbs", "wsh", "js", "vbe", "pif", "scr", "cmd", "cpl") or
   file.Ext.header_bytes : "4d5a*") and

  /* noisy paths, for hunting purposes you can use the same query without the following exclusions */
  not file.path : ("?:\\Program Files\\*", "?:\\Program Files (x86)\\*", "?:\\Windows\\*", "?:\\ProgramData\\*\\*") and

  /* lot of third party SW use BITS to download executables with a long file name */
  not length(file.name) > 30 and
  not file.path : (
        "?:\\Users\\*\\AppData\\Local\\Temp*\\wct*.tmp",
        "?:\\Users\\*\\AppData\\Local\\Adobe\\ARM\\*\\RdrServicesUpdater*.exe",
        "?:\\Users\\*\\AppData\\Local\\Adobe\\ARM\\*\\AcroServicesUpdater*.exe",
        "?:\\Users\\*\\AppData\\Local\\Docker Desktop Installer\\update-*.exe"
  )

框架: MITRE ATT&CK^TM

战术
- 名称：命令和控制
- ID：TA0011
- 参考 URL：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：入口工具传输
- ID：T1105
- 参考 URL：https://attack.mitre.org/techniques/T1105/
战术
- 名称：防御规避
- ID：TA0005
- 参考 URL：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：BITS 作业
- ID：T1197
- 参考 URL：https://attack.mitre.org/techniques/T1197/

« 通过 Forfiles/Pcalua 间接执行命令添加不安全的 AWS EC2 VPC 安全组入口规则 »