Задания BITS

Злоумышленники могут злоупотреблять заданиями BITS для постоянного выполнения кода и выполнения различных фоновых задач. Windows Background Intelligent Transfer Service (BITS) — это асинхронный механизм передачи файлов с низкой пропускной способностью, доступный через Объектную модель компонентов (COM). BITS обычно используется программами обновления, мессенджерами и другими приложениями, предпочитающими работать в фоновом режиме (используя доступную свободную пропускную способность) без прерывания других сетевых приложений. Задачи передачи файлов реализуются как задания BITS, которые содержат очередь из одной или более файловых операций. Интерфейс для создания и управления заданиями BITS доступен через PowerShell и инструмент BITSAdmin. Злоумышленники могут злоупотреблять BITS для загрузки (например, Передача средств вторжения), выполнения и даже очистки после выполнения вредоносного кода (например, Удаление индикаторов). Задания BITS автономны в базе данных заданий BITS, без новых файлов или модификаций реестра, и часто разрешены брандмауэрами узла. Выполнение с помощью BITS также может обеспечить закрепление путем создания долгоживущих заданий (максимальный срок жизни по умолчанию составляет 90 дней и может быть расширен) или вызова произвольной программы при завершении задания или ошибке (включая после перезагрузки системы). Функциональность загрузки BITS также может использоваться для выполнения Эксфильтрации по альтернативному протоколу.