随枫玉雨的个人网站黑客们利用Windows升级的文件传输组件,将恶意软件传过防火墙,Symantec的研究人员今天说。
微软公司的操作系统使用后台智能传输服务 (BITS) 在Windows Update传输补丁。BITS,是在Windows XP中首次采用的,然后在Windows Server 2003 和Windows Vista也继承下来,这是一个自动扼流的异步文件传输服务——所以下载不会影响其它的网络活动。如果连接断开的话,它会自动重传。
“这是一个非常好的组件,如果你考虑到它支持HTTP,并且能够通过COM API进行编程的话,这是一个可以让Windows下载任何你想要的东西的完美的工具,” Elia Florio说,他是赛门铁克公司的安全响应团队的研究人员,他在集团的博客中这样写道。“不幸的是,你下载的东西中可能也包括恶意文件。”
Florio列举了为什么一些特洛伊制造商开始调用BITS来向一个安全已经受到威胁的计算机下载附加代码的原因:BITS是操作系统的一部分,所以它被信任,并且可以在下载文件的时候绕过一些本地的防火墙。
恶意软件,特别是特洛伊,通常首先会为后来的代码在系统中打开一个后门,需要回避防火墙来引入另外的一些恶意软件——键盘记录器,例如——到电脑上。“但是,最常见的方式是插入需要的处理注入,否则的话会引起怀疑的警报,” Florio说。
“这很新奇,”赛门铁克的安全响应团队的主任Oliver Friedrichs说。“工记者们通过调整操作系统自身的组件来更新他们的内容。但是绕过防火墙的想法并不新颖。”
赛门铁克首先在去年年底截获了俄罗斯黑客消息板上关于BITS的聊天记录,Friedrichs补充说,自从那个时候起,BITS就被密切注视了。今年3月传播的特洛伊木马就是最先将这个技术应用实践的例子。
“BITS带给他们的最大好处就是让他们可以逃避防火墙,” Friedrichs说。“同时它还是一个可靠的下载机制。它免费并且可靠,所以他们不需要写自己的下载代码。”
尽管BITS增强了微软的Windows 升级服务的下载能力,Friedrichs还是向用户再三保证服务自身是没有风险的。“没有证据怀疑Windows 升级受到了威胁。如果它有弱点的话,现在一定有人已经发现它了。”
“但是这并没有显示攻击者们是如何调整组件,在创建软件的方面变得越来越模块化。他们只是简单地按照传统软件开发的趋势,” Friedrichs说。
Florio提醒说,没有方法可以阻止黑客们使用BITS。“要检查BITS应该下载什么,不应该下载什么并不是那么容易的事情,”他说,然后他又向微软提了一些建议。“也许BITS接口应该被设计得只能由更高级别的权限来访问,或者是BITS创建的下载任务应该只限于可信任的URL。”
微软没有立即对未授权的BITS使用问题作出反应。
