Introduzione e Scoperta:
BITSLOTH è una backdoor avanzata per sistemi Windows, scoperta di recente da Elastic Security Labs durante un’intrusione nel Ministero degli Esteri di un governo sudamericano. La backdoor sfrutta il Background Intelligent Transfer Service (BITS) come meccanismo di comando e controllo (C2), permettendo agli attaccanti di mantenere un basso profilo e di mascherare il traffico malevolo come traffico legittimo di rete. BITSLOTH è in sviluppo da diversi anni e sono state identificate numerose versioni del malware caricate su VirusTotal, un servizio online utilizzato per analizzare file sospetti.
Funzionalità e Capacità:
BITSLOTH è equipaggiato con 35 funzioni di gestione, che includono la registrazione delle attività della tastiera, la cattura di schermate e molte altre funzionalità per la scoperta e l’enumerazione dei sistemi compromessi. Questo malware non solo raccoglie dati sensibili dalle vittime, ma è anche progettato per eseguire comandi e operazioni sofisticate, rendendolo un’arma versatile e potente per gli attaccanti. Tra le sue funzionalità vi sono la capacità di caricare ed eseguire codice in memoria, bypassando le difese basate su blacklist di hash o firme statiche, e la persistenza attraverso un lavoro BITS con un nome che simula un servizio legittimo di Windows.
Meccanismo di Esecuzione e Persistenza:
Durante l’intrusione analizzata, gli attaccanti hanno utilizzato strumenti pubblici per eseguire BITSLOTH, distribuito sotto forma di DLL nella directory ProgramData. Successivamente, hanno utilizzato il programma FL Studio per iniettare il malware nel sistema. La persistenza di BITSLOTH è assicurata attraverso la creazione di un lavoro BITS chiamato “Microsoft Windows”, che sfrutta un dominio dall’aspetto innocuo per le comunicazioni C2. Questa tecnica di persistenza è particolarmente insidiosa poiché molte organizzazioni non monitorano adeguatamente il traffico generato da BITS, rendendo difficile rilevare l’attività malevola.
Comunicazione e Raccolta Dati:
Il malware utilizza una struttura client/server, con il client denominato “Slaver” e il server C2 chiamato “Master”. BITSLOTH sfrutta il servizio BITS per inviare e ricevere comandi, mantenendo così un canale di comunicazione con il server di comando e controllo. La raccolta dei dati avviene tramite la registrazione delle attività della tastiera e la cattura delle schermate, utilizzando funzioni API di Windows per raccogliere e trasmettere le informazioni al server C2. Questa modalità operativa consente agli attaccanti di ottenere una panoramica dettagliata delle attività della vittima e di raccogliere informazioni sensibili senza destare sospetti.
Conclusioni e Misure di Sicurezza:
La scoperta di BITSLOTH mette in luce l’importanza di monitorare attentamente il traffico BITS e di adottare misure di sicurezza adeguate per rilevare e mitigare le minacce avanzate. Elastic Security Labs ha fornito regole YARA per identificare la presenza di BITSLOTH, facilitando la difesa contro questo tipo di attacco. Le organizzazioni devono implementare strategie di sicurezza robuste, che includano il monitoraggio del traffico di rete e l’adozione di misure proattive per prevenire l’infiltrazione e la persistenza di malware sofisticati come BITSLOTH.
