BITS 任务

对手可能会滥用 BITS 任务来持续执行代码并执行各种后台任务。Windows 后台智能传输服务 (BITS) 是一种通过 组件对象模型 (COM) 暴露的低带宽、异步文件传输机制。(引用: Microsoft COM)(引用: Microsoft BITS) BITS 通常用于更新程序、消息传递程序和其他首选在后台运行的应用程序（使用可用的空闲带宽）而不打断其他网络应用程序。文件传输任务作为 BITS 任务实现，其中包含一个或多个文件操作的队列。 创建和管理 BITS 任务的接口可通过 PowerShell 和 BITSAdmin 工具访问。(引用: Microsoft BITS)(引用: Microsoft BITSAdmin) 对手可能会滥用 BITS 下载（例如 入口工具传输）、执行甚至在运行恶意代码后进行清理（例如 指标移除）。BITS 任务是自包含的 BITS 任务数据库，没有新文件或注册表修改，并且通常被主机防火墙允许。(引用: CTU BITS Malware June 2016)(引用: Mondok Windows PiggyBack BITS May 2007)(引用: Symantec BITS May 2007) BITS 启用的执行还可以通过创建长期任务（默认最大寿命为 90 天且可扩展）或在任务完成或出错时调用任意程序（包括系统重启后）来实现持久性。(引用: PaloAlto UBoatRAT Nov 2017)(引用: CTU BITS Malware June 2016) BITS 上传功能也可用于执行 通过替代协议外传。(引用: CTU BITS Malware June 2016)