Dell SecureWorks の研究者は、Microsoft のバックグラウンド インテリジェント転送サービス (BITS) を悪用する新しい危険な方法を発見しました。
SecureWorks のスタッフは、顧客のクリーンアップ プロジェクトに取り組んでいるときに、攻撃者が、影響を受けるマシンのレジストリには表示されない自己完結型の BITS タスクを作成し、その影響が BITS データベースのエントリに限定されていることを発見しました。
この攻撃は、学術管理環境の Windows 7 マシンで発見されました。
スクリプトは、リモート サーバーからマルウェアを取得し、インストール スクリプトを実行し、ペイロードがインストールされた後にクリーンアップ スクリプトを実行するなど、通常の悪意のあるアクティビティを実行しました。
移転が完了すると、BITS は次の通知プログラムを開始しました。
- BITS ジョブ エントリを確定およびクリーンアップし、ダウンロードを確認するための Windows バッチ スクリプトを作成して起動しました。
- ダウンロードしたプログラムを起動しました(tmp ディレクトリに残されていないかどうかをチェックします)。
- 完了すると自動的に削除されます。
SecureWorks のシステム管理者へのアドバイス: ホストを修復したにもかかわらず、ネットワークまたはホストのアラートが引き続き生成される場合は、汚染された BITS タスクがまだ保留中であるかどうかを確認してください。
「これらのタスクを列挙する 1 つの方法は、昇格された権限 (bitsadmin /list /allusers /verbose) を使用して cmd.exe セッションから bitsadmin クライアントを実行することです」と投稿には記載されており、以下の出力が生成されます。
この投稿には、この攻撃で確認されたマルウェアをホスティングしているドメインもリストされています。®
