Windowsの「BITS」機能を悪用、削除後に再感染するマルウェア--SecureWorksが警告

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2016-06-10 12:33

 セキュリティ企業Dell SecureWorksは米国時間6月6日、マルウェアを削除したにもかかわらず、再び感染するという事象で、「Microsoft Windows」のバックグラウンドインテリジェント転送サービス(BITS)の通知機能が悪用されていると発表した。

 BITSはクライアントとサーバの間でのデータ転送に用いられるユーティリティだ。このユーティリティによって、クライアントへのファイルのダウンロードや、サーバへのアップロード、データ転送中におけるサーバとサーバアプリ間の通信を制御することが可能になる。

TechRepublic Japan関連記事

 同社のCounter Threat Unit(CTU)リサーチチームによると、このユーティリティは「Windows Update」をはじめとするさまざまなアプリケーションで活用されているものの、サイバー犯罪者によって悪用されてもおり、マルウェアがシステムから除去された後で、マルウェアのダウンロードや再感染を引き起こすための仕掛けとして利用されているという。

 BITSシステムのあまり知られていない機能が悪用されていると同チームはブログで述べている。ジョブの完了をユーザーに知らせる「通知機能」が悪用され、「ダウンロード後に実行される自己完結型のBITSタスクを生成し、そのタスクはもともとのマルウェアがシステムから削除された後にも残り続ける」という。

 同チームは、BITSは何年も前から悪用されてきていると述べている。このサービスにより、ホストシステムのファイアウォールが信頼しているアプリを用いて、ファイルをアップロード、すなわち盗み取れるようになる。転送処理に割り込みが入った場合でも処理を再開可能で、マルウェア感染を持続させるタスクの生成と起動も可能となる。

 同チームは3月に、あるシステムの調査依頼を受けた。マルウェアに感染していないにもかかわらず、「怪しいネットワーク活動」に関するセキュリティ通知が送られてくるというのだ。

 その調査で、該当システムは過去に、「Zlob.Q」という名称のDNSChangerに感染しており、その際に一定の間隔で該当マルウェアを再びダウンロードするという悪質なエントリがBITSサービスに追加されていたと判明した。BITSは信頼されたサービスであるため、インストールされていたウイルス対策ソフトウェアはその活動を悪意あるものとして検出できなかったのだ。

 同チームによると「BITSの悪質なエントリは、ペイロードのダウンロード後にインストールとクリーンアップを行うスクリプトを生成するものであり、すべてはBITSのジョブデータベース内で自己完結しており、ホスト上での検出を可能にするようなファイルやレジストリへの改変は見られなった」という。

 SecureWorksは、BITSのログエントリを精査して得られた、マルウェアをホストしているドメインの一覧を公開するとともに、こういった悪質なドメインに対するアクセス制限を設定し、可能な限りブロックするための対策を施すことを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]