# BITSAdmin > Tipo: **tool** · S0190 · [MITRE ATT&CK](https://attack.mitre.org/software/S0190) ## Descrição [[s0190-bitsadmin|BITSAdmin]] é uma ferramenta de linha de comando nativa do Windows utilizada para criar, gerenciar e monitorar [[t1197-bits-jobs|BITS Jobs]] (Background Intelligent Transfer Service). O BITS é um serviço legítimo do Windows projetado para transferências de arquivos assíncronas e com controle de largura de banda - utilizado pelo Windows Updaté e outros componentes do sistema operacional para downloads em segundo plano sem impactar o desempenho da rede. Adversários abusam do BITSAdmin porque downloads realizados via BITS são executados pelo processo `svchost.exe` hospedando o serviço BITS, aparecem como tráfego legítimo de sistema, persistem entre reinicializações e podem ser configurados para executar programas após a conclusão do download (notification commands). Essa combinação cria um vector de download e execução de payload altamente evasivo. Grupos como [[g0102-conti-group|Wizard Spider]], [[g0096-apt41|APT41]], [[g1001-hexane|HEXANE]], [[g0065-leviathan|Leviathan]] e [[g1046-storm-1811|Storm-1811]] utilizam BITSAdmin para transferir e executar ferramentas de segunda fase sem acionar alertas de downloads de navegadores ou execução direta de ferramentas de transferência. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1197-bits-jobs|T1197 - BITS Jobs]] ## Grupos que Usam - [[g0102-conti-group|Wizard Spider]] - [[g0096-apt41|APT41]] - [[g1034-daggerfly|Daggerfly]] - [[g1001-hexane|HEXANE]] - [[g0065-leviathan|Leviathan]] - [[g1046-storm-1811|Storm-1811]] - [[g0081-tropic-trooper|Tropic Trooper]] - [[g0137-ferocious-kitten|Ferocious Kitten]] ## Relevância LATAM/Brasil O BITSAdmin é amplamente utilizado em cadeias de ataque de ransomware que afetam organizações brasileiras. O [[g0102-conti-group|Wizard Spider]] (operadores de Ryuk/Conti) e o [[g1046-storm-1811|Storm-1811]] - grupos com vitimologia documentada no Brasil - empregam BITSAdmin para baixar Cobalt Strike beacons e ferramentas de pós-exploração de infraestrutura C2 sem disparar alertas de firewall corporativo, pois o tráfego BITS é frequentemente permitido por padrão. O abuso de BITS Jobs para persistência (jobs que re-executam payloads após reboot) foi identificado em incidentes de ransomware no setor financeiro e de manufatura brasileiro em 2024. ## Detecção **Fontes de dados recomendadas:** - **Windows Event Log - Microsoft-Windows-Bits-Client/Operational:** Log nativo de jobs BITS; filtrar por `Job created` (Event ID 3) e `Job completed` (Event ID 5) com URLs suspeitas ou paths de destino em diretórios temporários - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `bitsadmin.exe /transfer`, `/create`, `/addfile`, `/SetNotifyCmdLine` - flags de criação e configuração de jobs maliciosos - **Sysmon Event ID 3 (NetworkConnect):** Conexões HTTP/HTTPS iniciadas por `svchost.exe` (BITS service) para IPs/domínios não relacionados a Microsoft - indicativo de abuso de BITS para C2 **Regras de detecção:** - Sigma: `proc_creation_win_bitsadmin_download.yml` - uso de `/transfer` ou `/addfile` com URLs externas suspeitas (SigmaHQ) - Sigma: `proc_creation_win_bitsadmin_cmdline.yml` - `SetNotifyCmdLine` com payload em diretório temporário - persistência via BITS Job notification - Microsoft Defender: rule nativa para `BITS abuse for payload delivery` (Defender for Endpoint telemetry) ## Referências Adicionais - [MITRE ATT&CK - S0190](https://attack.mitre.org/software/S0190) - [SigmaHQ - BITSAdmin Suspicious Download](https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process_creation/proc_creation_win_bitsadmin_download.yml) - 2024 - [Microsoft - Abusing BITS for Persistence and Download](https://docs.microsoft.com/en-us/windows/win32/bits/) - documentação oficial com contexto de abuso