bits

BITS utilisé par un nouveau malware pour extraire des données

Des chercheurs en cybersécurité ont découvert un nouveau virus qui utilise le composant BITS de Windows pour extraire furtivement des données vers un serveur. Le virus est associé à Stealth Falcon, un groupe de cyber-espionnage.

Actif depuis 2012, Stealth Falcon est un groupe de pirate sophistiqué connu pour cibler les journalistes, les activistes, et les dissidents dans le Moyen-Orient.

Surnommé Win32/StealthFalcon, le malware communique et envoie les données collectés vers des serveurs command-and-control (C&C) en utilisant le Background Intelligent Transfer Service (BITS).

BITS, c’est quoi?

Background Intelligent Transfer Service, soit service de transfert intelligent en arrière-plan, (BITS) est un composant des systèmes d’exploitation Microsoft Windows (Vista et Windows 2003) qui est utilisé par

  • les services de mises à jour logicielles de Microsoft: Windows Update (voir Microsoft Update), WSUS (Windows Server Update Services), et SMS (Systems Management Server)
  • des logiciels de messagerie instantanée de Microsoft
  • des logiciels non-Microsoft.

Ce logiciel permet le transfert de fichiers asynchrones utilisant la bande passante lorsqu’elle est inoccupée.

BITS utilise la bande passante inutile pour transférer les données. Normalement, BITS transfère les données en second plan (seulement si la bande passante n’est pas totalement utilisée par des applications), par exemple, si 80 % de la bande passante est utilisée par des applications, BITS n’utilisera que les 20 % de bande passante restant.

BITS surveille constamment la quantité de bande passante demandé par les applications pour ajuster sa propre consommation de bande passante afin d’en laisser suffisamment pour les autres applications. Il peut aussi interrompre son transfert de données lorsque les autres applications ont besoin de toute la bande passante.

BITS

Selon les chercheurs de sécurité de la firme ESET, comme les tâches BITS ont plus de chance d’être autorisé par des pare-feux d’hôte et la fonctionnalité s’ajuste automatiquement au débit de transfert de données, cela permet au malware d’opérer furtivement en arrière plan sans créer d’alerte.

“Par rapport au communication traditionnel via fonctions API, le mécanisme de BITS est exposé à travers l’interface COM et est donc plus difficile à détecter pour les produits de sécurité,” ont écrit les chercheurs dans leur rapport.

“Le transfert reprend automatiquement après avoir été interrompu pour des raisons comme une panne de réseau, la déconnexion de l’utilisateur, ou un redémarrage du système.”

En plus de cela, au lieu d’exfiltrer les données collectées en texte clair, le malware crée d’abord une copie chiffrée de lui-même et télécharge ensuite une copie vers le serveur C&C en utilisant le protocole BITS.

Après avoir exfiltré les données, le malware supprime automatiquement tout les logs et les données collectées après les avoir réécrit pour empêcher les analyses et le récupération des données supprimées.

Comme expliqué dans le rapport, la porte dérobée Win32/StealthFalcon n’a pas seulement été conçu pour subtiliser les données des systèmes compromis mais aussi pour être utilisé par des pirates pour déployer plus d’outils malveillants et mettre à jour sa configuration en envoyant des commandes grâce au serveur C&C.

“La porte dérobée Win32/StealthFalcon, qui semble avoir été créé en 2015, permet au pirate de contrôler l’ordinateur compromis à distance. Nous avons vu un petit nombre de cibles aux Emirats Arabes, en Arabie Saoudite, Thailande et aux Pays-Bas; dans ce dernier cas, la cible était une mission diplomatique d’un pays du Moyen-Orient,” ont affirmé les chercheurs.

Selon les chercheurs, ce nouveau malware partage ses serveurs C&C et la base de son code avec une porte dérobée PowerShell attribuée au groupe Stealth Falcon et suivi par Citizen Lab en 2016.

Si cet article vous a plu, jetez un œil à notre précédent article concernant une faille Windows.

Poster un Commentaire

avatar
  S’abonner  
Notifier de