Windowsバックグラウンドインテリジェント転送サービスによるWindowsUpdateメカニズム (BITS) 危険なステルスファルコンマルウェアを配信することが判明しました. これは、MicrosoftWindowsオペレーティングシステムに更新を適用する場合のデフォルトです。. 複雑な戦略を使用してターゲットネットワークに侵入する.
悪用されたWindowsUpdateメカニズムを介して配信されるステルスファルコンマルウェア
経験豊富なハッカー集団は、Microsoft Windows Updateを適用する主な方法を悪用することにより、コンピューターの被害者に積極的に感染しています。, これは、と呼ばれるプロセスによって行われます Windowsバックグラウンドインテリジェント転送サービス (BITS), 最終目標は、SteathFalconと呼ばれる危険な脅威を提供することです. 攻撃者が使用する複雑なハッキング戦略により、攻撃者は、侵害されたデバイスから発信され、ハッカーが制御するサーバーに向けられたネットワークトラフィックを隠すことができます。. ハッカーについて知られていることは、彼らが以来活動しているということです 2012 アラブ首長国連邦の反体制派に対するいくつかの国家支援攻撃を組織化したことで知られています.
この特定の攻撃の特徴は、マスクされたトラフィックがファイアウォールや侵入検知サービスを簡単に通過できることです。. 主にWindowsUpdateパッチの配信に使用されるBITSメカニズムは、他のアプリケーションでも使用されます, MozillaはFirefoxブラウザにもそれを採用しています. デフォルトでは、ネットワークルールによってホワイトリストに登録されており、安全なトラフィックとして信頼されています. この時点で 正確なメカニズムは不明です ただし、いくつかの可能な浸透戦術があります:
- 自動化されたツールキット —ハッキングソフトウェアを使用し、人気のあるエクスプロイトを入力することで、犯罪者は脆弱なホストの検索を自動化できます. それらの1つに遭遇すると、感染し、メインスクリプトがStealthFalconマルウェアを配信します。.
- フィッシング戦略 —犯罪者は、正当なランディングページを装った詐欺メールメッセージや偽のWebサイトに依存する可能性があります.
- インストーラー & ペイロードキャリア —非常に人気のあるメカニズムは、エンドユーザーがよく使用する人気のあるアプリケーションの悪意のあるインストーラーを作成することです。. これは通常、元のインストーラーを取得し、悪意のあるコードでそれらを変更することによって行われます。. ペイロードキャリアは、感染スクリプトとコマンドを運ぶことができる任意のファイルにすることができます, 一般的に、ハッカーはすべての一般的な形式のドキュメントに依存しています: データベース, テキストファイル, スプレッドシートとプレゼンテーション.
ステルスファルコンマルウェア機能
必要なファイルがターゲットコンピューターにドロップされるとすぐに、関連するStealthFalconが組み込みのメカニズムを開始します. 主なウイルスコードはDLLファイルで運ばれ、ユーザーのログイン時に自動的に起動するように設定されます. これは、実行中のプロセス(システムとユーザーアプリケーションの両方)に接続できる標準のトロイの木馬バックドアとして機能します。. メインエンジンで実行できるコマンドのリストは次のとおりです。:
- CFG —構成データを更新します
- K —自分自身をアンインストールします
- RC —指定されたアプリケーションを実行します
- DL —ダウンロードしたデータをファイルに書き込む
- CF —抽出用のファイルを準備します
- CFW —ファイルを盗み出し、削除する
StealthFalconマルウェアはアクセスできます, 独自の値を編集してWindowsレジストリに保存する. 既存の文字列を操作すると、深刻なパフォーマンスの問題が発生する可能性があります, エラーとデータ損失. マルウェアはシステムをスキャンして、実行中のセキュリティアプリケーションやサービスがあるかどうかを確認することもできます. 見つかったものはバイパスされるか、完全に削除されます. 典型的なトロイの木馬の機能を展示するStealthFalconマルウェアは、安全な接続を使用して、その進行状況をリモートのハッカー制御サーバーに自動的に報告します。. これにより、ハッカーはユーザーデータを盗むことができます, システムの制御を引き継ぎ、他の脅威も展開します.