ルートキットは、脅威アクターがいつでも好きなときに侵入できるようにする方法でネットワークを侵害します。情報を窃取したり、ファイルを削除したり、他のマルウェアを植え付けたりする可能性があります。安全を保つ方法は次のとおりです。
ルートキット
ルートキットは 、マルウェアの特に有害な形式 です。それらを検出するのは非常に困難であり、取り除くのはさらに困難です。さらに、攻撃者はシステムに対して、必要に応じて出入りできるなど、多大な権限を与えられます。これにより、長期的な観察と偵察が完全に脅威アクターの掌握内に収まります。
ルートキットは新しいものではありません。これらは、最初のルートキットが Sun Microsystems の SunOS Unix オペレーティング システム用に開発された 1990 年代初頭から存在しています。これは名前にも反映されています。 「ルート」部分は Unix 系オペレーティング システムのシステム管理者を指し、「キット」部分はエクスプロイトを実行するために必要なソフトウェア ツールのコレクションを記述します。
Windows オペレーティング システム専用に設計された最初のルートキットは、NTRootkit と呼ばれるマルウェアでした。これは 、そのような攻撃に対する防御の開発への関心を促進する ために、 Greg Hoglund というセキュリティ研究者によって作成されました。
最近の技術革新は、 モノのインターネット (IoT) デバイス用のルートキットの開発です。その理由の 1 つは、IoT デバイスの驚くべき普及です。攻撃者はターゲットが多ければ多いほど、幸福度が高くなります。しかし、サイバー犯罪者がそれらを魅力的な標的としている本当の理由は、大部分の IoT デバイスに堅牢なセキュリティ (場合によってはまったくセキュリティがまったくないこと) が欠如していることです。
侵入地点はどれも脅威アクターにとって有益です。 IoT デバイスのセキュリティ機能は、ネットワークに接続されているデバイスの中で最も弱いことがよくあります。これらはインターネットに面しており、組織の Wi-Fi に接続されており、ほぼ確実に主要な企業ネットワークから切り離されていません。侵害された IoT デバイスがネットワーク内の拠点としてのニーズに適合しない場合、目的に適した別の場所を簡単に見つけて移動できます。
ルートキットのインストール方法
ルートキットは、 ウイルス や ワーム のように自己複製できません。これらは、 フィッシングメールキャンペーン 、感染した Web サイト、USB ドロップなどのソーシャル エンジニアリング ベースの攻撃など、他のメカニズムによって配布される必要があります。
フィッシング キャンペーンは、本物の信頼できる送信元からのメールを装った詐欺メールを送信します。メールは丁寧な言葉遣いで書かれています。受信者にリンクをクリックさせたり、感染した添付ファイルを開かせたりしようとします。添付ファイルにはドロッパーと呼ばれるソフトウェアが含まれています。これがインストールされると、脅威アクターのサーバーからさらなるペイロード (ルートキット自体) をダウンロードします。添付ファイルのないフィッシングメールには、被害者を感染した Web サイトに誘導するリンクが含まれています。これらの Web サイトは、パッチが適用されていないブラウザを悪用して、被害者のコンピュータに感染します。
USB ドロップは、より標的を絞った攻撃です。感染した USB メモリ キーは、標的となった組織のスタッフが見つけやすい場所に放置されます。 USB メモリ キーは通常、一連のキーに付属しています。これにより、キーの所有者を特定することを目的とした一連のイベントが開始されます。もちろん、それを主張する人は誰もいません。遅かれ早かれ、誰かが USB メモリ キーをコンピュータに挿入して、所有者を特定する情報を探すでしょう。 USB メモリ キー上の PDF またはその他のドキュメント ファイルのように見えるものは、実際にはマスクされたプログラムです。そのうちの 1 つを開こうとすると、コンピューターが感染します。
トロイの木馬の手法も使用される可能性があります。ここでは、無害なソフトウェア アプリケーションが、別のインストール ルーチンで脅威アクターによって再パッケージ化されます。ソフトウェアのインストールは期待どおりに進行しているように見えますが、ルートキットがアプリケーションとともにインストールされています。トレント サイトのクラック ソフトウェアや海賊版ソフトウェアはトロイの木馬であることがよくあります。
ルートキットの役割
ルートキットは深く掘り下げます。ドロッパーは BIOS または UEFI に隠れることができるため、ハード ドライブが消去された場合でも、ドロッパーはルートキットを再度ダウンロードするだけです。このようにして、ルートキットはハード ドライブを完全に再フォーマットしたり、ハードウェアを交換して新しいハード ドライブを取り付けたりしても魔法のように生き残ることができるのです。
ルートキットは、オペレーティング システム自体の統合された正規の部分であるかのように、自身をインストールします。これらは、エンドポイント保護スイートによる検出を防止したり、エンドポイント保護ソフトウェアを削除したり、エンドポイント保護ソフトウェアによって検出された場合でも削除を防止する技術を組み込んだりすることができます。ルートキットは管理者レベルの権限を持っているため、ルートキット、つまり脅威アクターは好きなことを行うことができます。
ルートキットはプライベートなバックドアを提供するため、脅威アクターは特にルートキットを好みます。まるで建物への侵入者です。アクセスしようとするたびに鍵を開けなければならないのであれば、遅かれ早かれ発見されるでしょう。しかし、自分の鍵を持っているか、ドア入口のキーパッドのコードを知っていれば、自由に出入りできます。 2020 年には、感染から検出および封じ込めまでの平均期間は 200 日を超えました。これが、ルートキットが 高度で永続的な脅威 として分類される理由です。
ルートキットは次のいずれかを実行できます。
- バックドアをインストールする : これにより、攻撃者はネットワークに簡単に繰り返しアクセスできるようになります。
- 他の悪意のあるソフトウェアをインストールする : ルートキットは、キーロギング ソフトウェアなどのさらなるマルウェアをインストールする可能性があります。目的は、オンライン バンキング、その他の支払いプラットフォーム、またはサイバー犯罪者が興味を持っているその他のサービスへの認証資格情報を捕捉することです。攻撃者は、ネットワークから可能な限り搾取したと判断すると、ランサムウェアをインストールする可能性があります。別れのショット。ランサムウェア攻撃が引き起こされる前に、ネットワークが侵害され、機密資料や企業機密資料が漏洩されることがますます一般的になりつつあります。被害者が堅牢な災害復旧計画を立てており、身代金の支払いを拒否した場合、サイバー犯罪者は個人文書を公開すると脅迫します。
- ファイルの読み取り、コピー、抽出、または削除 : ファイルがネットワーク内に存在すると、プライベートまたは不変のものは何もありません。
- システム構成の変更 : ルートキットはシステム設定を変更して、エンドポイント保護ソフトウェアから隠蔽し、オペレーティング システムの他のコンポーネントには正当に見えるようにします。設定を変更して、最高レベルの管理権限と、最低レベルのオペレーティング システム機能と対話する許可を自分自身に与えます。
- ログ ファイルにアクセスして変更する : ルートキットはシステム ログを修正して、検出や調査を不可能にします。
- キーストロークのログと監視 : キーストロークのログ記録は、ローカル システムとオンライン システムの両方でユーザー名とパスワードを取得する簡単かつ効果的な方法です。結局のところ、入力するものはすべて同じキーボードを経由します。
ルートキットの背後にいるのは誰ですか?
ルートキットは非常に洗練されたコードです。効果的なルートキットの作成は、平均的なサイバー犯罪者の能力を超えています。ただし、ルートキット ツールセットはダークウェブで入手できます。これらにより、ある程度有能なプログラマーであればルートキットの能力を手に入れることができます。ルートキット技術を実証する概念実証コードも GitHub で入手できます 。
ルートキットを最初から作成するには、多くのリソースと最高レベルの開発専門知識が必要です。ルートキットの発生源としては、軍やその他の機関に代わって活動する国家支援の攻撃的サイバーグループ –APT グループ — が知られています。最近の例は、Drovorub ルートキットです。 国家安全保障局 (NSA) と 連邦捜査局 (FBI) は、この脅威の背後にあるグループとして ロシアの第 85 主要特別サービス センター (GTsSS) — APT28 やファンシー ベア としても知られる — を特定しました。
ルートキットの種類
ルートキットは、その動作のいくつかに従って分類できます。より一般的な亜種は次のとおりです。
- カーネル ルートキット : これらはカーネル レベルで動作します。ルートキットは、オペレーティング システムに付与されているすべての権限を取得します。
- アプリケーション ルートキット : これらはアプリケーション レベルで機能します。通常、アプリケーションのモジュール、ファイル、またはコードを置換または変更します。これにより、ルートキットとサイバー犯罪者が通常の許可されたソフトウェアを装うことが可能になります。
- メモリ ルートキット : これらは ランダム アクセス メモリ (RAM) で動作します。これらは RAM 内で実行されるため、ハード ドライブにデジタル フットプリントやファイル署名を残しません。
- ブートキット : ブートキット (またはブートローダー キット) は 、マスター ブート レコード (MBR) などの オペレーティング システムのブート ローダー に影響を与えるルートキットです。これらは、コンピュータの電源投入時とオペレーティング システムが完全にロードされる前に初期化されます。これにより、それらの除去が非常に困難になります。
- ライブラリ ルートキット : これらのルートキットは、カーネル パッチまたはフックのように動作します。これらは、システム コールをブロックするか、インターセプトして変更します。また、Windows ベースのシステムの ダイナミック リンク ライブラリ (DLLS) や Unix 系オペレーティング システムのライブラリを置き換えることもあります。
- ファームウェア ルートキット : これらはネットワーク デバイス上のファームウェアに影響を与えます。これにより、攻撃者がデバイスを制御できるようになります。攻撃者はこの足場から、ネットワークに接続された他のデバイスやコンピュータに移動する可能性があります。
検出と除去
突然の不可解なクラッシュやパフォーマンスの非常に低下は、ルートキットが存在することを示している可能性があります。ダークウェブで入手可能な「自己組織化」ツールキットに基づいて構築されたルートキットの設計が不十分であると、システムが不安定になる可能性があります。ルートキットはカーネルやオペレーティング システムの他のモジュールと最下位レベルで相互作用するため、ルートキットのバグはシステムの不安定性につながりやすいです。
ルートキットはエンドポイントのセキュリティ スイートからうまく隠れることができるため、検出が難しいことで知られています。最上位の有名なエンドポイント保護スイートの一部は、ルートキットの亜種を検出できると主張しており、これは役に立ちます。
動作分析技術を含むセキュリティ ソフトウェアを使用すると、コンピュータの正しい動作と、ユーザーのさまざまな種類の役割のネットワーク習慣を把握できます。予期された動作からの逸脱は、システム上のルートキットを示している可能性があります。ハイエンドの検出システムがなければ、ルートキット侵害を積極的に特定して削除するには、通常、専門家の介入が必要であることに注意してください。
- セキュリティ監査ソフトウェアは、システムに不可欠なファイルの参照フィンガープリントを取得します。このソフトウェアはコンピュータを定期的にスキャンするように設定されています。ディスク上のファイルとその参照署名の間に相違がある場合は、ファイルが変更または置換されたことを意味します。これらの異常は調査のためにフラグが立てられています。この手法では、変更または置換されたファイル、カーネル パッチ、DLL、およびドライバーを見つけることができます。このタイプのセキュリティ監査ツールの例としては、適切なファイル整合性プラグインを備えたオープンソースの Lynis パッケージ があります。
- API 監視ソフトウェアは、API 呼び出しと、API 呼び出しから返されたデータを追跡できます。予想される標準からの差異には、疑わしいものとしてフラグが立てられます。
削除は長引く作業になる可能性があります。 セーフ モード で起動しても、ルートキットには何の役にも立ちません。オペレーティング システムが含まれている CD または DVD から起動する必要があります。これは、ハード ドライブがブート プロセスに関与しておらず、ルートキット ドロッパー ソフトウェアが CD または DVD 上のイメージを変更できないことを意味します。
多くの場合、起動されるオペレーティング システムは、マシンが通常実行しているものと同じではありません。たとえば、Windows PC では、 Linux Live CD から起動できます。次に、専門のルートキット検索ソフトウェアを使用して、ドロッパーが存在する場所を特定し、削除できるようにします。ハードドライブを交換するか、完全に消去して再インストールする必要があります。
予防が最善の治療法
ルートキット感染の大部分は人間の介入に依存しています。おそらく誰かがフィッシングメールにだまされたか、違法な torrent サイトからソフトウェアをダウンロードしようとしたのでしょう。これは、ルートキットによる侵害に対する防御を強化する最善の方法は、スタッフにサイバーセキュリティ意識向上トレーニングを提供し、スタッフが従うべきポリシーと手順を設けることであることを意味します。
利用規約には、組織のコンピューティング リソースの利用が許容されるものと見なされないものが詳細に記載されています。従業員は昼休み中にあらゆる種類の Web サイトを閲覧できますか? それとも、一部のカテゴリの Web サイトは禁止されていますか?個人の Web メールの閲覧を許可する場合のルールは何ですか?ユーザーがオフィスのデスクトップを使用して個人メールを読んでフィッシング攻撃に遭った場合、侵害されるのはユーザーの自宅のコンピュータではなく、あなたの組織です。
パスワード ポリシーには、堅牢なパスワードを構築するための明確なガイダンスと、回避すべき落とし穴が含まれている必要があります。子供の名前や結婚記念日など、ソーシャルエンジニアリングできるものをパスワードのベースにしないでください。異なるシステムでパスワードを再利用しないでください。パスワード マネージャーを推奨し、どのパスワード マネージャーの使用が承認されているかのリストを提供する必要があります。可能な場合は 2 要素認証を実装します。
マルウェアやフィッシング攻撃の脅威について説明する、短く鋭いトレーニング セッションを実施します。ランサムウェア攻撃は組織の財務的存続を脅かす可能性があるため、サイバーセキュリティに注意を払うことはビジネスを保護するだけでなく、従業員の生活も保護します。フィッシングメールを見分ける方法と、フィッシングメールを受け取った場合の対処方法について説明します。セキュリティベースのクエリとダブルチェックが眉をひそめるのではなく評価される、セキュリティを重視する文化を育みます。
サイバーセキュリティ会社と協力して、無害なフィッシングキャンペーンや USB ドロップなどのスタッフの感受性訓練を実施して、補充トレーニングが必要なスタッフを特定するとよいでしょう。
ほとんどの種類のマルウェアでは、担当者が最前線の部隊となります。ネットワークを最大限に効果的に保護できるように、彼らに権限を与える必要があります。
