編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」

Windowsの「BITS」機能を悪用、削除後に再感染するマルウェア--SecureWorksが警告

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部

2016-06-10 12:33

 セキュリティ企業Dell SecureWorksは米国時間6月6日、マルウェアを削除したにもかかわらず、再び感染するという事象で、「Microsoft Windows」のバックグラウンドインテリジェント転送サービス(BITS)の通知機能が悪用されていると発表した。

 BITSはクライアントとサーバの間でのデータ転送に用いられるユーティリティだ。このユーティリティによって、クライアントへのファイルのダウンロードや、サーバへのアップロード、データ転送中におけるサーバとサーバアプリ間の通信を制御することが可能になる。

TechRepublic Japan関連記事

 同社のCounter Threat Unit(CTU)リサーチチームによると、このユーティリティは「Windows Update」をはじめとするさまざまなアプリケーションで活用されているものの、サイバー犯罪者によって悪用されてもおり、マルウェアがシステムから除去された後で、マルウェアのダウンロードや再感染を引き起こすための仕掛けとして利用されているという。

 BITSシステムのあまり知られていない機能が悪用されていると同チームはブログで述べている。ジョブの完了をユーザーに知らせる「通知機能」が悪用され、「ダウンロード後に実行される自己完結型のBITSタスクを生成し、そのタスクはもともとのマルウェアがシステムから削除された後にも残り続ける」という。

 同チームは、BITSは何年も前から悪用されてきていると述べている。このサービスにより、ホストシステムのファイアウォールが信頼しているアプリを用いて、ファイルをアップロード、すなわち盗み取れるようになる。転送処理に割り込みが入った場合でも処理を再開可能で、マルウェア感染を持続させるタスクの生成と起動も可能となる。

 同チームは3月に、あるシステムの調査依頼を受けた。マルウェアに感染していないにもかかわらず、「怪しいネットワーク活動」に関するセキュリティ通知が送られてくるというのだ。

 その調査で、該当システムは過去に、「Zlob.Q」という名称のDNSChangerに感染しており、その際に一定の間隔で該当マルウェアを再びダウンロードするという悪質なエントリがBITSサービスに追加されていたと判明した。BITSは信頼されたサービスであるため、インストールされていたウイルス対策ソフトウェアはその活動を悪意あるものとして検出できなかったのだ。

 同チームによると「BITSの悪質なエントリは、ペイロードのダウンロード後にインストールとクリーンアップを行うスクリプトを生成するものであり、すべてはBITSのジョブデータベース内で自己完結しており、ホスト上での検出を可能にするようなファイルやレジストリへの改変は見られなった」という。

 SecureWorksは、BITSのログエントリを精査して得られた、マルウェアをホストしているドメインの一覧を公開するとともに、こういった悪質なドメインに対するアクセス制限を設定し、可能な限りブロックするための対策を施すことを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]