Siber Korsanlar Güvenlik Duvarını Aşmak için Windows OS Kullanıyor 

Siber korsanlar tarafından geliştirilen yeni bir yöntem, Microsoft’un kısa adı BITS olan Background Intelligent Transfer Service (Arkaplan Akıllı Transfer Hizmeti) kullanarak Windows yüklü cihazlara kötü amaçlı yazılım yüklenmesine yol açıyor.

2020 boyunca hastaneler, huzurevleri ve medikal kurumlar ardı arkası kesilmeyen oltalama saldırılarına maruz kaldı. KEGTAP gibi arka kapı (trojan) yazılımların sistemlere yüklenmesi hedefleyen bu saldırıların sonucunda, birçok sağlık kurumu RYUK fidye yazılımı gibi saldırıların kurbanı oldu.

Bir siber güvenlik şirketinin adli tıp birimi tarafından gerçekleştirilen en son araştırmalar, siber korsanların geliştirdikleri kötü amaçlı yazılımların direnç mekanizmasını geliştirmek adına BITS kullanarak arka kapı oluşturduklarını ortaya koydu.

Windows XP ile sunulan BITS, faydalanılmayan ağ genişbandını kullanarak makineler arasındaki eşzamansız dosya transferini kolaylaştırıyor. Bu işlem, yüklenecek veya indirilecek dosyaların toplanacağı bir sekme oluşturulması ile gerçekleşiyor.

İşletim sistemi güncellemelerinin yanı sıra, kötü amaçlı yazılım güncellemelerine dair izleri tespit etmek için Windows Defender antivirüs taraması gerçekleştirmek için kullanılan BITS, Microsoft dışındaki ürünlerde de kullanılıyor; örneğin Mozilla Firefox tarayıcısında ekran kapatılsa bile arkaplanda başlatılan bir indirme sürecinin devam etmesini sağlıyor.

Güvenlik uzmanları, BITS ile belgelerin indirilip yüklenmesini sağlayan dosyayı temsil eden “BITS jobs” sayesinde, kötü amaçlı yazılımların güvenlik duvarlarını sinsice aşabildiğini ifade etti…

Daha fazla teknik ayrıntı…

RYUK fidye yazılımlarının bazılarının, BITS aracılığıyla oluşturulan ve KEGTAP arka kapı trojanını harekete geçirmek için kullanılan “mail.exe” komutu ile düzenlendiği anlaşıldı. BITS jobs ile “sistem güncellemesi” olarak beliren düzenleme sonucunda arka kapı harekete geçiyor ve RYUK’un bilgisayara sızmasına izin veriyor.

Kötü amaçlı BITS jobs, yerel sunucudan var olmayan bir dosyanın HTTP transferi için ayarlanıyor. Dosya var olmadığı için BITS hata kodu oluşturuyor ve bildiri komutunu devreye sokuyor. Bu da KEGTAP olarak beliriyor.

Ortaya çıkarılan mekanizma, siber korsanların BITS kullanarak ne kadar gelişmiş saldırılar düzenleyebileceğini gözler önüne serdi. Güvenlik uzmanları yeni saldırı yöntemi hakkında daha fazla bilgi elde edebilmek için BitsParser adı verilen bir Python özelliği oluşturdu. Böylece BITS veritabanı dosyaları ve dosya bilgileri analiz edilebilecek.