检查你的位,因为删除恶意软件可能还不够
攻击者正在滥用Windows背景智能转移服务(比特)以在抗病毒产品已清除机器后重新感染具有恶意软件的计算机。
通过Secureworks的研究人员在疯狂的野外观察到该技术,同时响应客户的恶意软件。检测到的受损计算机上的防病毒软件并删除了恶意软件程序,但计算机仍显示在网络级别的恶意活动迹象。
在进一步调查后,研究人员发现了两个在比特中注册的rogue作业,操作系统使用的Windows服务以及其他应用程序下载更新或传输文件。这两个恶意作业定期下载并尝试重新安装已删除的恶意软件。
即使它不是很常见,攻击者也有滥用比特,以便自2007年退回以来下载恶意软件。使用这种方法的优点是位是可信服务,并且计算机的防火墙不会阻止。
但是,SecureWorks发现的新特洛伊木马程序 - DNSchanger恶意软件系列的一部分 - 也滥用有点知道的位功能以执行下载的文件。这会删除系统上存在恶意软件的需求。
完成传输后,Rogue作业将命令执行为位“通知”操作。该命令创建并启动一个名为x.bat的批处理脚本,该脚本完成了位作业,检查文件是否已被保存并将其加载到计算机内存中作为DLL。
通过这种技术,攻击者创建了“即使在删除原始恶意软件之后持久的自包含,下载和执行位任务”,SecureWorks研究人员在博客文章中表示。
另一个问题是,虽然Windows事件日志显示有关先前位恶意传输的信息,但有关挂起任务的记录信息有限。研究人员必须使用其他工具来解析位作业数据库以查看完整的详细信息。
位乔布斯在90天后到期,但可能会续签。在SecureWorks调查的情况下,计算机于3月4日被感染,并在10天后被防病毒软件清洁。在5月份发现之前,剩余的剩余工作仍然存在。
研究人员表示,公司应该考虑在电脑上枚举在电脑上继续生成网络或主机安全警报的计算机或主机安全警报。这样做的一种方法是通过键入提升的权限来执行来自cmd.exe会话的bitsadmin客户端:bitsadmin / list / allusers / prommose。
