BITSLOTH: یک درب پشتی جدید و پیشرفته با هدف سیستم‌های ویندوز

درب پشتی (Backdoor) نوعی نرم‌افزار یا روش دسترسی به یک سیستم کامپیوتری است که به کاربر اجازه می‌دهد بدون نیاز به تأییدیه‌های امنیتی معمول، وارد سیستم شود. در زمینه امنیت سایبری، درب پشتی معمولاً به کدی اشاره دارد که به‌ طور مخفیانه در نرم‌افزار یا سیستم تعبیه می‌شود تا به مهاجم اجازه دسترسی غیرمجاز به سیستم را بدهد.
محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کرده‌اند که سیستم‌های ویندوزی را هدف قرار می‌دهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C2) بهره می‌برد. عملیات فرمان و کنترل (C2) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستم‌های آلوده حفظ می‌کنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت می‌کنند. این کانال به مهاجم امکان می‌دهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمع‌آوری اطلاعات حساس یا دستکاری فایل‌ها را صادر کند.
 BITS یک سرویس ویندوزی است که برای انتقال فایل‌ها به صورت غیرهمزمان بین دستگاه‌ها طراحی شده است. این سرویس به‌ویژه برای دانلود به‌روزرسانی‌ها و انتقال داده‌ها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعی‌های شبکه را نیز داراست و می‌تواند انتقال‌ها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راه‌اندازی شده ‌باشد.
BITSLOTH از یک پروژه‌ی بارگذاری شل‌کد برای اجرای مخفیانه و عبور از مکانیزم‌های امنیتی سنتی استفاده می‌کند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه‌ به نام FL Studio بارگذاری و اجرا می‌کند. FL Studio یک برنامه‌ی معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا می‌کنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر می‌رسد.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش می‌کند به سایر سیستم‌های موجود در شبکه دسترسی پیدا کند تا دامنه‌ی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاه‌های داده و سیستم‌های مدیریتی، دسترسی یابد.
BITSLOTH دارای 35 فرمان مختلف است و از جمله قابلیت‌های کلیدی آن می‌توان به این موارد اشاره کرد:

•  جمع‌آوری داده‌ها: شامل ضبط کلیدهای فشرده شده (keylogging)، عکس‌برداری از صفحه نمایش و جمع‌آوری اطلاعات سیستم.
• Keylogging، یک روش جاسوسی دیجیتال است که در آن هر چیزی که کاربر روی صفحه‌کلید خود تایپ می‌کند، ثبت می‌شود. این اطلاعات می‌تواند شامل رمزهای عبور، پیام‌های شخصی، اطلاعات بانکی و سایر داده‌های حساس باشد.
•   اجرا و فرماندهی: امکان اجرای دستورات، آپلود و دانلود فایل‌ها.
•   پایداری: استفاده از BITS برای حفظ دسترسی مداوم به سیستم.

علاوه بر این، BITSLOTH می‌تواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راه‌اندازی یا خاموش کند، و حتی خود را به‌روزرسانی کرده یا از سیستم میزبان حذف کند.
این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بی‌ضرر هستند و شبیه به وظایف به‌روزرسانی ویندوز به نظر می‌رسند، از شناسایی شدن اجتناب می‌کند. به عنوان مثال، کارهای موجود با نام‌هایی مثل "WU Client Download" را لغو می‌کند و کارهای جدیدی با نام‌های مشابه ایجاد می‌کند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C2) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می‌کنند.
به گفته‌ی محققان، استفاده از BITSLOTH و بهره‌برداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارت‌های امنیتی عبور می‌کند. بسیاری از سازمان‌ها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیت‌های مخرب مشکل دارند، که این امکان را به مهاجمان می‌دهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیت‌های خود را پنهان کنند.

محصولات تحت تاثیر
سیستم‌ها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند.

توصیه‌های امنیتی
برای جلوگیری از اثرات بدافزاری مانند BITSLOTH، موارد ذیل توصیه می‌گردند:

•  نظارت دقیق و مستمر بر ترافیک سرویس BITS.
•  استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS.
•  تنظیم مجدد مجوزهای دسترسی به سرویس BITS و غیرفعال‌سازی آن در سیستم‌هایی که به آن نیاز ندارند.
•  پیاده‌سازی سامانه‌های EDR (Endpoint Detection and Response) پیشرفته برای شناسایی رفتارهای مشکوک و و پاسخ به تهدیدات امنیتی در نقاط انتهایی شبکه (مانند رایانه‌های شخصی و سرورها).
•  استفاده از قوانین YARA ارائه شده توسط Elastic Security Labs برای شناسایی BITSLOTH.
•  محدودسازی اجرای فایل‌های DLL از مسیرهای غیرمجاز.
•  محدودسازی مجوز‌های دسترسی به سیستم‌ها و اطلاعات حساس.
   

منابع خبر:

[1] https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html
[2] https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth
[3] https://cyberinsider.com/novel-windows-backdoor-bitsloth-exploits-bits-for-c2-operations/