Ýaramaz niýetli ulanyjylar Background Intelligent Transfer Service (BITS) atly Windows operasion ulgamynyň resmi düzüm bölegini ulanmak arkaly zyýanly programma üpjünçiligini gizlin gurnamak mümkinçiligini öwrendiler.

2020-nji ýylda hassahanalar, lukmançylyk merkezleri we garrylar öýleri Ryuk atly töleg talap edýän programma üpjünçiligiň zyýanly hereketleri üçin ýol açan KEGTAP bekdory ýaýratmak üçin ulanylan dürli fişing usullaryndan zyýan çekdiler. Häzirki wagtda FireEye Mandiant hünärmenleri KEGTAP bekdor üçin BITS düzüm bölegiň kömegi bilen ulgamda saklanyp galmak mümkinçiligini berýän öňden belli bolmadyk usuly ýüze çykardylar.

Windows XP ulgamynda ilkinji sapar goşulan BITS düzüm bölegi fon režiminde toruň ulanylmaýan geçiriji ukybyny işledýän müşderi bilen HTTP serweriň arasynda faýllary geçirmek hyzmaty bolup durýar. Adatça, BITS operasion ulgamynyň täzelenmelerini ulanyjylara ýetirmek üçin ulanylýar. Mundan başga-da, bu düzüm bölegi zyýanly programma üpjünçiliginiň signaturalarynyň täzelenmelerini almak üçin Windows Defender antiwirus skanery tarapyndan ulanylýar. Bu hyzmat Microsoft önümlerinden daşary, Mozilla Firefox ýaly beýleki programmalar tarapyndan ulanylýar, ýagny onuň kömegi bilen brauzer ýapyk wagty hem fon režiminde ýüklemek prosesi dowam edýär.

“Zyýanly programmalar BITS ýumuşlary döredenlerinde, hyzmatyň host prosesiniň çäginde faýllar ýüklenýär ýa-da alynýar. Bu mümkinçilik zyýanly ýa-da näbelli prosesleri petikleýän torara ekranlary aýlanyp geçmek, şeýle hem haýsy programmanyň maglumatlary geçirmek üçin synanyşýandygyny gizlemek üçin peýdaly bolup biler "-diýip FireEye Mandiant kompaniýasy habar berdi.

Zäherlenen ulgamlara Ryuk zyýanly programma üpjünçiligi ýüklenýär, soň bu programma System update ýaly täze ýumuşlary döretmek üçin BITS hyzmaty ulanýar, ýumuş mail.exe ýerine ýetirilýän faýly işledýär, bu faýl hem öz gezeginde hakyky däl URL-salgysyny ýüklemäge synanyşanda KEGTAP bekdory işledýär.

Gözlegçileriň bellemegine görä, BITS hyzmatyň zyýanly ýumuşlary lokal hostdan bolmadyk faýly HTTP üsti bilen ibermek üçin sazlandy.

"Bu faýl hiç haçan bolmajagy sebäpli, BITS hyzmaty ýalňyşlyk ýagdaýyna getirer we duýduryş buýrugy, ýagny KEGTAP bekdory işleder" – diýip FireEye beýan etdi.

Çeşme: securitylab.ru