BitsTransfer
Individuare elementi anomali nelle code di BitsTransfer.
Uno dei tanti canali di infiltrazione di malware o esfiltrazione di informazioni è BitsTransfer (Background Intelligent Transfer Service), una utility utilizzata da alcuni programmi per gli aggiornamenti e da altri per la sincronizzazione di contenuti, la scelta di questo canale è la sua velocità.
Dobbiamo ammettere che lo utilizziamo anche noi per il trasferimento di report, con gli opportuni accorgimenti per evitare che l’EDR di MalwareBytes, da noi utilizzato come soluzione anti-malware, intervenga bloccando il trasferimento.
La nostra scelta è stata quella di perfezionare gli script e non di limitare i controlli dell’anti-malware.
Da diversi anni abbiamo realizzato procedure in Powershell per il controllo delle code di BitsTransfer per tutti gli utenti del sistema, quest’anno siamo arrivati ad un’ottimizzazione dell’analisi che abbiamo decido di condividere.
L’impiego è utile per avere allarmi da parte di un sistema RMM, nel nostro caso Datto RMM.
Tabella dei Contenuti
Obiettivo della procedura monitor
L’analisi deve controllare con una cadenza temporale frequente (60 – 120 secondi) e regolare il contenuto delle code associate agli utenti del sistema, a tale scopo è utilizzabile il cmdlet Get-BitsTransfer, che richiede il caricamento di una specifico modulo Powershell.
Output del cmdle Get-BitsTransfer.
L’output ottenuto può contenere dei valori per i quali non desideriamo avere degli allarmi, in quanto noti e considerati leciti. Questo filtro rende necessario fornire una lista di esclusione, contenente gli elementi da non considerare.
Eliminati dal output i… Continua a leggere