ルートキットとは何ですか?ルートキットはどのように機能しますか?ルートキットについて説明しました。

従来のウイルス対策/スパイウェア対策製品でさえもだます方法でマルウェアを隠すことは可能ですが、ほとんどのマルウェアプログラムはすでにルートキットを使用してWindows PCの奥深くに隠れています…そして、それらはより危険になっています!DL3ルートキットは、これまでに見られた中で最も高度なルートキットの1つです。ルートキットは安定しており、32ビットのWindowsオペレーティングシステムに感染する可能性があります。ただし、システムに感染をインストールするには管理者権限が必要でした。しかし、TDL3が更新され、64ビットバージョンのWindowsにも(even 64-bit versions  Windows)感染できるようになりました。

ルートキットとは

ウイルス

ルートキットウイルスはステルスタイプのマルウェア であり、コンピュータ上の特定のプロセスまたはプログラムの存在を通常の検出方法から隠して、それまたは別の悪意のあるプロセスにコンピュータへの特権アクセスを許可するように設計されています。

Windows用のルートキット(Rootkits for Windows)は通常、ウイルス対策プログラムなどから悪意のあるソフトウェアを隠すために使用されます。ウイルス、ワーム、バックドア、スパイウェアによって悪意のある目的で使用されます。ルートキットと組み合わされたウイルスは、フルステルスウイルスとして知られているものを生成します。ルートキットはスパイウェアの分野でより一般的であり、ウイルスの作成者によってもより一般的に使用されるようになっています。

これらは現在、オペレーティングシステムのカーネルを効果的に隠し、直接影響を与える新しいタイプのスーパースパイウェアです。(Super Spyware)これらは、コンピュータ上のトロイの木馬やキーロガーなどの悪意のあるオブジェクトの存在を隠すために使用されます。脅威がルートキットテクノロジーを使用して隠蔽している場合、PC上でマルウェアを見つけることは非常に困難です。

ルートキット自体は危険ではありません。それらの唯一の目的は、ソフトウェアとオペレーティングシステムに残された痕跡を隠すことです。これが通常のソフトウェアであるかマルウェアプログラムであるか。

ルートキット(Rootkit)には基本的に3つの異なるタイプがあります。最初のタイプの「カーネルルートキット(Kernel Rootkits)」は通常、オペレーティングシステムコアの一部に独自のコードを追加しますが、2番目のタイプの「ユーザーモードルートキット(User-mode Rootkits)」は、システムの起動時に正常に起動するWindowsを特に対象としています。または、いわゆる「ドロッパー」によってシステムに注入されます。3番目のタイプは、MBRルートキットまたはブートキットです(MBR Rootkits or Bootkits)

AntiVirusAntiSpywareに障害が発生した場合は、(AntiSpyware)優れたAnti-Rootkitユーティリティ(good Anti-Rootkit Utility)(good Anti-Rootkit Utility)を利用する必要があります。Microsoft Sysinternalsの(Microsoft Sysinternals)RootkitRevealerは、高度なルートキット検出ユーティリティです。その出力には、ユーザーモードまたはカーネルモードのルートキットの存在を示す可能性のあるレジストリ(Registry)とファイルシステムAPIの不一致が一覧表示されます。(API)

(Microsoft Malware Protection Center Threat Report)ルートキット(Rootkits)に関する Microsoftマルウェア保護センターの脅威レポート

Microsoft Malware Protection Centerは、(Microsoft Malware Protection Center)ルートキット(Rootkits)に関する脅威レポート(Threat Report)をダウンロードできるようにしました。このレポートでは、今日のマルウェアを脅かす組織や個人の中で最も陰湿なタイプの1つであるルートキットを調べています。このレポートでは、攻撃者がルートキットをどのように使用しているか、および影響を受けるコンピューターでルートキットがどのように機能するかを調べています。初心者向けのルートキット(Rootkits)とは何かから始めて、レポートの要点を以下に示します。

ルートキット(Rootkit)は、攻撃者またはマルウェア作成者が、通常はシステム管理者のために予約されている、公開された/セキュリティで保護されていないシステムを制御するために使用するツールのセットです。近年、「ルートキット」または「ルートキット機能」という用語は、正常なコンピューターに望ましくない影響を与えるように設計されたプログラムであるマルウェアに置き換えられました。(MALWARE –)マルウェアの主な機能は、ユーザーのコンピューターから貴重なデータやその他のリソースを密かに引き出して攻撃者に提供することで、攻撃者が侵入先のコンピューターを完全に制御できるようにすることです。さらに、それらを検出して削除することは困難であり、見過ごされた場合、長期間、場合によっては何年も隠されたままになる可能性があります。

したがって、当然のことながら、結果が致命的であることが判明する前に、侵害されたコンピューターの症状をマスクして考慮する必要があります。特に、攻撃を明らかにするために、より厳格なセキュリティ対策を講じる必要があります。ただし、前述のように、これらのルートキット/マルウェアがインストールされると、そのステルス機能により、ダウンロードする可能性のあるルートキットとそのコンポーネントを削除することが困難になります。このため、Microsoftは(Microsoft)ROOTKITSに関するレポートを作成しました。

16ページのレポートでは、攻撃者がルートキットを使用する方法と、影響を受けるコンピューターでこれらのルートキットがどのように機能するかについて概説しています。

レポートの唯一の目的は、多くの組織、特にコンピューターユーザーを脅かす強力なマルウェアを特定し、綿密に調査することです。また、一般的なマルウェアファミリーのいくつかについても言及し、攻撃者が自分の利己的な目的でこれらのルートキットを正常なシステムにインストールするために使用する方法を明らかにします。レポートの残りの部分では、ユーザーがルートキットからの脅威を軽減するのに役立ついくつかの推奨事項を作成している専門家を見つけることができます。

ルートキットの種類

マルウェアがオペレーティングシステムに自身をインストールできる場所はたくさんあります。したがって、ほとんどの場合、ルートキットのタイプは、実行パスのサブバージョンを実行する場所によって決まります。これも:

  1. ユーザーモードルートキット
  2. カーネルモードのルートキット
  3. MBRルートキット/ブートキット

カーネルモードのルートキット侵害の考えられる影響は、以下のスクリーンショットで示されています。

3番目のタイプは、マスターブートレコード(Master Boot Record)を変更してシステムを制御し、ブートシーケンスの可能な限り早いポイントをロードするプロセスを開始します3。ファイル、レジストリの変更、ネットワーク接続の証拠、およびその存在を示す可能性のあるその他の指標を非表示にします。

ルートキット(Rootkit)機能を使用する注目すべきマルウェア(Malware)ファミリ

  • Win32/Sinowal 13 –さまざまなシステムのユーザー名やパスワードなどの機密データを盗もうとするマルウェアのマルチコンポーネントファミリー。これには、さまざまなFTP(FTP)HTTP、および電子メールアカウントの認証の詳細、およびオンラインバンキングやその他の金融取引に使用される資格情報を盗もうとする試みが含まれます。
  • Win32/Cutwail 15 –任意のファイルをダウンロードして実行するトロイの木馬。(Trojan)ダウンロードしたファイルは、ディスクから実行することも、他のプロセスに直接挿入することもできます。ダウンロードされたファイルの機能はさまざまですが、Cutwailは通常、スパムを送信する他のコンポーネントをダウンロードします。カーネルモードのルートキットを使用し、影響を受けるユーザーからコンポーネントを隠すためにいくつかのデバイスドライバーをインストールします。
  • Win32/Rustockボットネット(botnet)を介した「スパム」メールの配信を支援するために最初に開発されたルートキット対応のバックドア型トロイの木馬(Trojans) のマルチコンポーネントファミリ。ボットネットは、攻撃者が制御する大規模な侵入先コンピュータのネットワークです。

ルートキットに対する保護

ルートキットのインストールを防ぐことは、ルートキットによる感染を回避するための最も効果的な方法です。このためには、ウイルス対策製品やファイアウォール製品などの保護技術に投資する必要があります。このような製品は、従来のシグニチャベースの検出、ヒューリスティック検出、動的で応答性の高いシグニチャ機能、および動作監視を使用して、保護に包括的なアプローチをとる必要があります。

これらの署名セットはすべて、自動更新メカニズムを使用して最新の状態に保つ必要があります。マイクロソフト(Microsoft)のウイルス対策ソリューションには、影響を受けるシステムのカーネルを変更する試みを検出して報告するライブカーネル動作監視や、非表示のドライバーの識別と削除を容易にする直接ファイルシステム解析など、ルートキットを軽減するために特別に設計された多数のテクノロジが含まれています。

システムが危険にさらされていることが判明した場合は、適切な修復手段を提案する可能性があるため、既知の良好な環境または信頼できる環境で起動できる追加のツールが役立つ場合があります。(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

そのような状況下で、

  1. スタンドアロンシステムスイーパー(Standalone System Sweeper)ツール(Microsoft Diagnostics and Recovery ToolsetDaRT )の一部)
  2. WindowsDefenderオフライン(Defender Offline)が役立つ場合があります。

詳細については、 Microsoftダウンロードセンターから(Microsoft Download Center.)PDFレポートをダウンロードできます。



About the author

私は、Windows 11/10 と Apple の最新の iOS プラットフォームの両方の経験を持つ iPhone と macOS の開発者です。10 年以上の経験があるため、両方のプラットフォームでファイルを作成および管理する方法を深く理解しています。私のスキルは、ファイルを作成するだけではありません。また、Apple 製品、その機能、およびそれらの使用方法についての深い知識も持っています。



Related posts