新的网络间谍恶意软件滥用Windows BITS服务-FebHost

安全研究人员发现另一个滥用Windows后台智能传输服务（BITS）的恶意软件应用实例。

该恶意软件似乎是由国家赞助的网络间谍组织的工作，研究人员多年来一直以Stealth Falcon的名义进行跟踪。

关于这个黑客组织的第一份也是唯一一份报告已于 2016年由Citizen Lab发布，该公司是一家专注于安全和人权的非营利组织。

根据公民实验室的报告，隐形猎鹰组织自2012年开始运作，并被视为针对阿拉伯联合酋长国（阿联酋）持不同政见者。以前的工具包括一个用PowerShell编写的非常隐秘的后门程序。

新恶意软件使用BITS作为C＆C通信渠道

但在今天发布的一份报告中，来自斯洛伐克网络安全公司ESET的安全研究人员表示，他们发现了一种新工具，甚至比第一种工具更隐蔽。

它的隐秘功能来自于恶意软件使用Windows BITS系统与其命令和控制（C＆C）服务器联系和通信。

Windows BITS是Microsoft向全世界用户发送Windows更新的默认系统。

BITS服务的工作原理是检测用户何时未使用其网络连接并使用停机时间下载Windows更新。其他应用程序也可以使用BITS系统下载自己的更新。例如，Mozilla目前正致力于将Firefox更新系统移植到Windows BITS。

ESET将他们找到的菌株命名为Win32 / StealthFalcon。他们表示，这种恶意软件可以作为一个基本的后门，允许Stealth Falcon操作员在受感染的主机上下载和运行其他代码，或者将数据泄露到远程服务器。

研究小组表示，Win32 / StealthFalcon后门没有通过经典的HTTP或HTTPS请求与其远程服务器通信，而是隐藏了BITS内的C＆C流量。研究人员认为这样做是为了绕过防火墙，因为公司倾向于忽略BITS流量，知道它很可能包含软件更新，而不是任何恶意的。