One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8553025 |
| Date de publication | 2024-08-06 21:47:56 (vue: 2024-08-06 22:19:40) |
| Titre | Bits and octets: Analyser des bits, une porte dérobée nouvellement identifiée BITS and Bytes: Analyzing BITSLOTH, a newly identified backdoor |
| Texte | ## Instantané
Elastic Security Labs a identifié une porte dérobée Windows appelée bitsloth, qui utilise le service de transfert intelligent (bits) de fond pour la communication de commande et de contrôle.
## Description
Cette porte dérobée a été découverte lors d'une intrusion dans la région de Latam et serait en développement depuis plusieurs années.L'itération la plus récente de Bitsland comprend 35 fonctions de gestionnaire, le blogging, les capacités de capture d'écran et les fonctionnalités pour la découverte, l'énumération et l'exécution de la ligne de commande, indiquant sa conception pour la collecte de données.
Observés lors d'une intrusion dans un ministère des Affaires étrangères du gouvernement sud F1CB)en tandem avec des bits pour mener leur intrusion.Il utilise des bits pour se fondre dans le trafic réseau normal et assurer la persistance.Le malware peut exécuter des commandes, télécharger et télécharger des fichiers et collecter des données sensibles, ce qui en fait un outil sophistiqué pour l'exfiltration des données et le compromis système.
## Détections / requêtes de chasse
Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de menace comme le FMALWOWIRS DE SOWNING:
- * [hacktool: win32 / mimikatz] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=hacktool:win32/mimikatz) *
- * [hacktool: win64 / mimikatz] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=hacktool:win64/mimikatz& ;Thereatid=-2147280206) *
## Recommandations
Microsoft RECOMMENT les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées.
- Allumez [Protection en cloud-étirement] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-astivirus) dans Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement des outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues.
- Activer la protection contre la protection] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-potection)Services de sécurité.
- Exécuter [Détection et réponse Endpoint (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode) afin que le défenseur pour le point final puisse bloquerDes artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte.
- Activer [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations) en mode automatisé complet pour permettre au défenseur de final de prendre des mesures immédiates sur des alertes pour résoudre les brèches, réduisant considérablement le volume d'alerte.
## Les références
[Bits and octets: analyser des bits, une porte dérobée nouvellement identifiée] (https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth).Elastic Security Labs (consulté en 2024-08-06)
## Droits d'auteur
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Elastic Security Labs identified a Windows backdoor called BITSLOTH, which uses the Background Intelligent Transfer Service (BITS) for command-and-control communication. ## Description This backdoor was uncovered during an intrusion in the LATA |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 2147280206 365/security/defender accessed action alert alerts all allow american analyzing antivirus any artifacts attacker attackers automated available backdoor background based been behind believed bits bitsloth blend block breach breaches bytes bytes: called can capabilities capture card changes check cloud co/security collect com/en com/intel com/microsoft command commands communication components compromise conduct content control copyright cover current data defender delivered deployment description design detect detected detection detections/hunting detects development discovery distribution does download during edr elastic enable encyclopedia endpoint endpoint/automated endpoint/configure endpoint/edr endpoint/prevent ensure enumeration equivalent even evolving execute execution exfiltration features files first following foreign from full functions gathering government hacktool:win32/mimikatz hacktool:win64/mimikatz handler have https://learn https://security https://www identified immediate impact includes indicating intelligent intrusion investigation investigations iox iteration its keylogging labs labs/bits latam learning like line machine majority making malicious malware malware: microsoft mimikatz ministry mitigations mode monitored most name=hacktool:win32/mimikatz name=hacktool:win64/mimikatz&threatid= network new newly non normal not observed on part passive permission persistence post prevent product profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb prohibited protection protections publicly queries rapidly recommendations recommends reduce reducing references region remediate remediation reproduction reserved resolve response rights ringq running run scenes screen security sensitive service services settings several sight significantly site snapshot sophisticated south status stopping stowaway system take tamper tamper protection tandem techniques thereof threat tool tools traffic transfer turn uncovered unknown upload us/wdsi/threats/malware used uses variants volume when which windows without works written years your features in |
| Tags | Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.