det0098-detect-abuse-of-windows-bits-jobs-for-download-execution-and-persistence

# DET0098 — Detect abuse of Windows BITS Jobs for download, execution and persistence ## Descrição Esta estratégia detecta o abuso do serviço BITS (Background Intelligent Transfer Service) do Windows para download furtivo de payloads, execução de comandos e persistência. O BITS é um serviço legítimo do Windows usado para atualizações em background, tornando seu tráfego de rede difícil de distinguir de atividade normal. Adversários utilizam `bitsadmin.exe` ou a API COM do BITS para criar jobs que baixam arquivos de URLs externas e, via notificações de conclusão (`SetNotifyCmdLine`), executam payloads automaticamente. A telemetria inclui: execução de `bitsadmin /transfer` ou `bitsadmin /creaté` com URLs externas não relacionadas à Microsoft ou vendors de software legítimo, criação de BITS jobs via API COM por processos não-sistema, e jobs com `SetNotifyCmdLine` apontando para executáveis em diretórios de usuário. O log de eventos `Microsoft-Windows-Bits-Client/Operational` (Event ID 3) registra criação de jobs e é a fonte primária de detecção. Jobs BITS persistem entre reinicializações quando criados com tipo `BG_JOB_TYPE_DOWNLOAD` e não completados, tornando-os vetores de persistência eficazes. A estratégia deve correlacionar criação de job BITS com conexões de rede para domínios de baixa reputação e execução subsequente de binários não assinados. [[g0096-apt41]] e operadores de crimeware utilizam BITS como alternativa ao PowerShell DownloadFile para evasão de detecção. ## Indicadores de Detecção - `bitsadmin /transfer` ou `bitsadmin /creaté` com URLs para domínios não-Microsoft/Windows Updaté - BITS jobs com `SetNotifyCmdLine` configurado para executar arquivos em `%TEMP%` ou `%APPDATA%` - Event ID 3 no log `Bits-Client/Operational` com URLs de IP direto ou domínios suspeitos - Criação de jobs BITS por processos filho de documentos Office, scripts ou browsers - Jobs BITS com período de retry longo (>1 hora) sugerindo uso como mecanismo de persistência - Arquivos baixados via BITS com extensões executáveis (`.exe`, `.dll`, `.ps1`) em diretórios de usuário ## Técnicas Relacionadas - [[t1197-bits-jobs]] — Técnica principal - [[t1105-ingress-tool-transfer]] — Transfer de ferramentas via BITS - [[t1071001-web-protocols]] — Comúnicação HTTP/S via BITS - [[t1547-boot-or-logon-autostart-execution]] — Persistência correlacionada via BITS jobs de longa duração - [[t1218-system-binary-proxy-execution]] — LOLBin usage via bitsadmin ## Analytics Relacionadas - [[an0274-analytic-0274|AN0274 — Analytic 0274]] --- *Fonte: [MITRE ATT&CK — DET0098](https://attack.mitre.org/detectionstrategies/DET0098)*