【要点】
◎コンピューターに潜伏し不正アクセスを手助けするツールがパッケージ化されたものを指す
【目次】
概要
【辞書】
◆ルートキット (Wikipedia)
https://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E3%82%AD%E3%83%83%E3%83%88
【Rootkit】
◆CosmicStrand (まとめ)
https://malware-log.hatenablog.com/entry/CosmicStrand
◆PurpleFox (まとめ)
https://malware-log.hatenablog.com/entry/PurpleFox
【概要】
■ルートキットの定義
クラッカーが他のコンピュータに侵入するためのツールを集めたものの総称。不正に侵入したクラッカーが再侵入するためのツールや、システムを改ざんするためツールをパッケージしたもの。
(出典: ASCII.jpデジタル用語辞典)
■ルートキットに含まれるツール
ログ改ざんツール | マルウェアの侵入を隠蔽し、マルウェアやルートキット自体の検知・駆除を遅らせる |
バックドア生成ツール | ほかのマルウェアが再び侵入できるよう裏口(バックドア)を設ける |
トラフィック監視ツール | ネットワークを介してやり取りされるデータを盗聴する |
キーロガーツール | キーボード入力を盗み見てログを記録する |
■ルートキットのモード
ユーザーモード | 感染すると、アプリケーションのプロセスを乗っ取られる |
カーネルモード | 感染するとコンピューター(OS)は完全に制御される |
■起動プロセスを保証する4つの機構
- UEFI Secure boot
- Trusted boot
- Early Launch Anti-Malware(EALM)
- Measured Boot
記事
【ニュース】
■2003年
◆rootkitの概要と検知 (ITmedia, 2003/01/15 16:59)
http://www.itmedia.co.jp/enterprise/0301/15/epn06.html
⇒ https://malware-log.hatenablog.com/entry/2003/01/15/000000
■2005年
◆MS研究者、「カーネルrootkits」の脅威を警告 (ITmedia, 2005/02/18 09:58)
カーネルrootkitsは感染したマシン上で密かに動作し、現行のセキュリティ製品ではほとんど検出不可能、中には暗号化まで利用するものもある
http://www.itmedia.co.jp/enterprise/articles/0502/18/news027.html
⇒ https://malware-log.hatenablog.com/entry/2005/02/18/000000
■2006年
◆Vistaを脅かす100%検出不可能なマルウェア「Blue Pill」 (ITmedia, 2006/06/29 16:34)
rootkitに詳しいセキュリティ研究者が、Windows Vista x64システム上でも「100%検出不能な」マルウェアについてコメントした。新技術を応用してマルウェアを作成可能とする実動プロトタイプ開発についてだ
https://www.itmedia.co.jp/news/articles/0606/29/news068.html
⇒ https://malware-log.hatenablog.com/entry/2006/06/29/000000
■2007年
◆発見不能!OSの下で動作するルートキット(前編) (ITPro, 2007/11/15)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071107/286636/?k2
⇒ https://malware-log.hatenablog.com/entry/2007/11/15/000000
◆発見不能!OSの下で動作するルートキット(後編) (ITPro, 2007/11/15)
http://itpro.nikkeibp.co.jp/article/COLUMN/20071107/286637/?k2
⇒ https://malware-log.hatenablog.com/entry/2007/11/15/000000_1
■2011年
◆知っているようで知らない?ルートキットのすべて (Ascii.jp, 2011/07/25 06:00)
http://ascii.jp/elem/000/000/618/618802/
⇒ https://malware-log.hatenablog.com/entry/2011/07/25/000000
■2012年
◆「ZeroAccess」ルートキットに関する技術資料 (ITPro, 2012/04/26)
http://itpro.nikkeibp.co.jp/article/COLUMN/20120425/393328/?bpnet
⇒ https://malware-log.hatenablog.com/entry/2012/04/26/000000_4
◆Linuxを狙う新手のrootkit出現、ドライブバイ攻撃の新たな手口を実装 (ITmedia, 2012/11/21 07:34)
今回見つかったLinuxマルウェアは、Webサイトを閲覧しただけでマルウェアに感染させる「ドライブバイダウンロード」の新たな手口を実装しているのが特徴だという
http://www.itmedia.co.jp/enterprise/articles/1211/21/news032.html
⇒ https://malware-log.hatenablog.com/entry/2012/11/21/000000
◆アンダーグラウンドにおける調査情報:ルートキット/エクスプロイトキットの進化 (TrendLabs SECURITY BLOG, 2012/12/04)
http://blog.trendmicro.co.jp/archives/6343
⇒ https://malware-log.hatenablog.com/entry/20%E3%81%AC12/12/04/000000
■2013年
◆マカフィー、サーバOSの深部で動作するrootkit対策を発表 (ITmedia, 2013/07/30 17:13)
インテルと共同開発した「McAfee Deep Defender」がInto Xeon E3/E5/E7シリーズおよびWindows Server 2008 R2に対応。サーバOSの深部で動作するrootkitの検知や駆除が可能になる
http://www.itmedia.co.jp/enterprise/articles/1307/30/news102.html
⇒ https://malware-log.hatenablog.com/entry/2013/07/30/000000_1
■2017年
◆Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (@IT, 2017/07/24 05:00)
http://www.atmarkit.co.jp/ait/articles/1707/20/news013.html
⇒ https://malware-log.hatenablog.com/entry/2017/07/24/000000_1
■2018年
◆OS再インストールやHDD交換でも排除できない、UEFIルートキット「LoJax」 (PC Watch, 2018/09/28 14:30)
https://pc.watch.impress.co.jp/docs/news/1145336.html
⇒ https://malware-log.hatenablog.com/entry/2018/09/28/000000_1
◆ESET社、UEFIファームウェアを狙ったルートキット「LoJax」を報告 (SPUTNIK, 2018/09/29 12:44)
https://jp.sputniknews.com/science/201809295398391/
⇒ https://malware-log.hatenablog.com/entry/2018/09/29/000000
■2020年
◆マルウェアのなかでも危険性の高い「ルートキット」とは (ASCII.jp, 2020/06/30 14:00)
https://ascii.jp/elem/000/004/017/4017099/
⇒ https://malware-log.hatenablog.com/entry/2020/06/30/000000_9
■2023年
◆Rootkit Attack Detections Increase at UAE Businesses (DARKReading, 2023/07/22)
[UAEの企業でルートキット攻撃の検知が増加]Detections of rootkit attacks against businesses in the United Arab Emirates are up 167% in 2023, with an increased view of their use in the Middle East overall.
[アラブ首長国連邦の企業に対するルートキット攻撃の検出件数は2023年に167%増加し、中東全体におけるルートキットの使用に対する見方が高まっている]https://www.darkreading.com/dr-global/rootkit-attack-detections-increase-uae-businesses
⇒ https://malware-log.hatenablog.com/entry/2023/07/22/000000
【ブログ】
■2008年
◆偽「ルートキットバスター」によるアドレス搾取 (TrendLabs Security Blogs, 2008/01/15)
http://blog.trendmicro.co.jp/archives/1274
⇒ https://malware-log.hatenablog.com/entry/2008/01/15/000000
◆Rootkit evolution (SecureList(kaspersky), 2008/08/28)
https://securelist.com/rootkit-evolution/36222/
⇒ https://malware-log.hatenablog.com/entry/2008/08/28/000000_1
■2012年
◆New 64-bit Linux Rootkit Doing iFrame Injections (Kaspersky, 2012/11/19 20:15 GMT)
http://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections#page_top
⇒ https://malware-log.hatenablog.com/entry/2012/11/19/000000_1
■2015年
◆「Hacking Team」、BIOSやUEFIに感染するルートキットを利用して自社製品のエージェントをPCに常駐 (Trendmicro, 2015/07/16)
http://blog.trendmicro.co.jp/archives/11972
⇒ https://malware-log.hatenablog.com/entry/2015/07/16/000000
■2016年
◆Shopperzアドウェアは検出と削除を妨げるためにRootkitを使用している (Gossip at the Spring, 2016/05/18)
http://www.hippo.flnet.org/AtTheSpring/KnowledgeKasperskyDiary.html
⇒ https://malware-log.hatenablog.com/entry/2016/05/18/000000
■2018年
◆LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group (WeliveSecurity(ESET), 2018/09/27 11:57)
https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/
⇒ https://malware-log.hatenablog.com/entry/2018/09/27/000000_1
【資料】
■2002年
◆rootkit 調査報告書(警察庁, 2002/12)
https://www.npa.go.jp/cyberpolice/server/rd_env/pdf/Rootkit02.pdf
⇒ https://malware-log.hatenablog.com/entry/2002/12/31/000000_1
■2018年
◆LOJAX (ESET, 2018/09)
First UEFI rootkit found in the wild, courtesy of the Sednit group
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf
⇒ https://malware-log.hatenablog.com/entry/2018/09/27/000000_1
【ツール】
◆ルートキットバスター (Trendmicro)
http://esupport.trendmicro.com/ja-jp/support-tool/agreement/rkb.aspx
⇒ https://malware-log.hatenablog.com/entry/2008/01/15/000000
関連情報
【関連まとめ記事】
◆マルウェア / Malware (まとめ)
https://malware-log.hatenablog.com/entry/Malware
◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method