TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Rootkit (まとめ)

【要点】

◎コンピューターに潜伏し不正アクセスを手助けするツールがパッケージ化されたものを指す


【辞書】

◆ルートキット (Wikipedia)
https://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E3%82%AD%E3%83%83%E3%83%88


【概要】

■ルートキットの定義

クラッカーが他のコンピュータに侵入するためのツールを集めたものの総称。不正に侵入したクラッカーが再侵入するためのツールや、システムを改ざんするためツールをパッケージしたもの。
(出典: ASCII.jpデジタル用語辞典)


■ルートキットに含まれるツール

ログ改ざんツール マルウェアの侵入を隠蔽し、マルウェアやルートキット自体の検知・駆除を遅らせる
バックドア生成ツール ほかのマルウェアが再び侵入できるよう裏口(バックドア)を設ける
トラフィック監視ツール ネットワークを介してやり取りされるデータを盗聴する
キーロガーツール キーボード入力を盗み見てログを記録する


■ルートキットのモード

ユーザーモード 感染すると、アプリケーションのプロセスを乗っ取られる
カーネルモード 感染するとコンピューター(OS)は完全に制御される


■起動プロセスを保証する4つの機構

  • UEFI Secure boot
  • Trusted boot
  • Early Launch Anti-Malware(EALM)
  • Measured Boot


【ニュース】

◆rootkitの概要と検知 (ITmedia, 2003/01/15 16:59)
http://www.itmedia.co.jp/enterprise/0301/15/epn06.html
https://malware-log.hatenablog.com/entry/2003/01/15/000000

◆MS研究者、「カーネルrootkits」の脅威を警告 (ITmedia, 2005/02/18 09:58)

カーネルrootkitsは感染したマシン上で密かに動作し、現行のセキュリティ製品ではほとんど検出不可能、中には暗号化まで利用するものもある

http://www.itmedia.co.jp/enterprise/articles/0502/18/news027.html
https://malware-log.hatenablog.com/entry/2005/02/18/000000

◆Vistaを脅かす100%検出不可能なマルウェア「Blue Pill」 (ITmedia, 2006/06/29 16:34)

rootkitに詳しいセキュリティ研究者が、Windows Vista x64システム上でも「100%検出不能な」マルウェアについてコメントした。新技術を応用してマルウェアを作成可能とする実動プロトタイプ開発についてだ

https://www.itmedia.co.jp/news/articles/0606/29/news068.html
https://malware-log.hatenablog.com/entry/2006/06/29/000000

◆発見不能!OSの下で動作するルートキット(前編) (ITPro, 2007/11/15)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071107/286636/?k2
https://malware-log.hatenablog.com/entry/2007/11/15/000000

◆発見不能!OSの下で動作するルートキット(後編) (ITPro, 2007/11/15)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071107/286637/?k2
https://malware-log.hatenablog.com/entry/2007/11/15/000000_1

◆知っているようで知らない?ルートキットのすべて (Ascii.jp, 2011/07/25 06:00)
http://ascii.jp/elem/000/000/618/618802/
https://malware-log.hatenablog.com/entry/2011/07/25/000000

◆「ZeroAccess」ルートキットに関する技術資料 (ITPro, 2012/04/26)
http://itpro.nikkeibp.co.jp/article/COLUMN/20120425/393328/?bpnet
https://malware-log.hatenablog.com/entry/2012/04/26/000000_4

◆Linuxを狙う新手のrootkit出現、ドライブバイ攻撃の新たな手口を実装 (ITmedia, 2012/11/21 07:34)

今回見つかったLinuxマルウェアは、Webサイトを閲覧しただけでマルウェアに感染させる「ドライブバイダウンロード」の新たな手口を実装しているのが特徴だという

http://www.itmedia.co.jp/enterprise/articles/1211/21/news032.html
https://malware-log.hatenablog.com/entry/2012/11/21/000000

◆アンダーグラウンドにおける調査情報:ルートキット/エクスプロイトキットの進化 (TrendLabs SECURITY BLOG, 2012/12/04)
http://blog.trendmicro.co.jp/archives/6343
https://malware-log.hatenablog.com/entry/20%E3%81%AC12/12/04/000000

◆マカフィー、サーバOSの深部で動作するrootkit対策を発表 (ITmedia, 2013/07/30 17:13)

インテルと共同開発した「McAfee Deep Defender」がInto Xeon E3/E5/E7シリーズおよびWindows Server 2008 R2に対応。サーバOSの深部で動作するrootkitの検知や駆除が可能になる

http://www.itmedia.co.jp/enterprise/articles/1307/30/news102.html
https://malware-log.hatenablog.com/entry/2013/07/30/000000_1

◆Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (@IT, 2017/07/24 05:00)
http://www.atmarkit.co.jp/ait/articles/1707/20/news013.html
https://malware-log.hatenablog.com/entry/2017/07/24/000000_1

◆OS再インストールやHDD交換でも排除できない、UEFIルートキット「LoJax」 (PC Watch, 2018/09/28 14:30)
https://pc.watch.impress.co.jp/docs/news/1145336.html
https://malware-log.hatenablog.com/entry/2018/09/28/000000_1

◆ESET社、UEFIファームウェアを狙ったルートキット「LoJax」を報告 (SPUTNIK, 2018/09/29 12:44)
https://jp.sputniknews.com/science/201809295398391/
https://malware-log.hatenablog.com/entry/2018/09/29/000000

◆マルウェアのなかでも危険性の高い「ルートキット」とは (ASCII.jp, 2020/06/30 14:00)
https://ascii.jp/elem/000/004/017/4017099/
https://malware-log.hatenablog.com/entry/2020/06/30/000000_9

【ブログ】

◆偽「ルートキットバスター」によるアドレス搾取 (TrendLabs Security Blogs, 2008/01/15)
http://blog.trendmicro.co.jp/archives/1274
https://malware-log.hatenablog.com/entry/2008/01/15/000000

◆Rootkit evolution (SecureList(kaspersky), 2008/08/28)
https://securelist.com/rootkit-evolution/36222/
https://malware-log.hatenablog.com/entry/2008/08/28/000000_1

◆New 64-bit Linux Rootkit Doing iFrame Injections (Kaspersky, 2012/11/19 20:15 GMT)
http://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections#page_top
https://malware-log.hatenablog.com/entry/2012/11/19/000000_1

◆「Hacking Team」、BIOSやUEFIに感染するルートキットを利用して自社製品のエージェントをPCに常駐 (Trendmicro, 2015/07/16)
http://blog.trendmicro.co.jp/archives/11972
https://malware-log.hatenablog.com/entry/2015/07/16/000000

◆Shopperzアドウェアは検出と削除を妨げるためにRootkitを使用している (Gossip at the Spring, 2016/05/18)
http://www.hippo.flnet.org/AtTheSpring/KnowledgeKasperskyDiary.html
https://malware-log.hatenablog.com/entry/2016/05/18/000000

◆LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group (WeliveSecurity(ESET), 2018/09/27 11:57)
https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/
https://malware-log.hatenablog.com/entry/2018/09/27/000000_1


【資料】

◆LOJAX (ESET, 2018/09)

First UEFI rootkit found in the wild, courtesy of the Sednit group

https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf
https://malware-log.hatenablog.com/entry/2018/09/27/000000_1

◆rootkit 調査報告書(警察庁, 2002/12)
https://www.npa.go.jp/cyberpolice/server/rd_env/pdf/Rootkit02.pdf
https://malware-log.hatenablog.com/entry/2002/12/31/000000_1


【ツール】

◆ルートキットバスター (Trendmicro)
http://esupport.trendmicro.com/ja-jp/support-tool/agreement/rkb.aspx
https://malware-log.hatenablog.com/entry/2008/01/15/000000


【図表】

f:id:tanigawa:20181222194754p:plain
出典: http://www.atmarkit.co.jp/ait/articles/1707/20/news013.html


【関連まとめ記事】

全体まとめ

◆マルウェア / Malware (まとめ)
https://malware-log.hatenablog.com/entry/Malware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020