ルートキット

ルートキットとは、コンピュータソフトウェアの集合体であり、通常は悪意があり、通常は許可されていないコンピュータまたはそのソフトウェアの領域へのアクセスを可能にするように設計されており(たとえば、権限のないユーザー)、多くの場合、ルートキットの存在や他のソフトウェアの存在を隠蔽します。[ 1 ]ルートキットという用語は、 「ルート」( Unix系オペレーティングシステムの特権アカウントの伝統的な名前)と「キット」(ツールを実装するソフトウェアコンポーネントを指す)という単語を組み合わせたものです。 [ 2 ] 「ルートキット」という用語は、マルウェアとの関連から否定的な意味合いを持っています。[ 1 ]

ルートキットのインストールは自動化することも、攻撃者がルートまたは管理者権限を取得した後にインストールすることもできます。[ 3 ]このアクセスの取得は、システムへの直接攻撃、すなわち脆弱性(権限昇格など)の悪用やパスワード(クラッキングや「フィッシング」などのソーシャルエンジニアリング戦術によって取得)の悪用によって行われます。ルートキットがインストールされると、侵入を隠蔽し、特権アクセスを維持することが可能になります。システムを完全に制御できるということは、既存のソフトウェア(システムの検出や回避に使用される可能性のあるソフトウェアを含む)を変更できることを意味します。

ルートキットの検出は困難です。ルートキットは、自身を検出するために意図されたソフトウェアを破壊できる可能性があるためです。検出方法には、信頼できる代替オペレーティングシステムの使用、動作ベースの方法、シグネチャスキャン、差分スキャン、メモリダンプ解析などがあります。削除は複雑になるか、事実上不可能になる場合があり、特にルートキットがカーネル内に存在する場合は、オペレーティングシステムの再インストールが唯一の解決策となることがあります。ファームウェアルートキットの場合、削除にはハードウェアの交換や特殊な機器 が必要になる場合があります。

歴史

ルートキットrkit、またはルート キットという用語は、もともと、Unix 系オペレーティング システム用の管理ツールを悪意を持って改変し、「ルート」アクセスを許可したものを指していました。[ 4 ]侵入者がシステム上の標準の管理ツールをルートキットに置き換えることができれば、侵入者はシステムのルート アクセスを取得できると同時に、正当なシステム管理者からこれらのアクティビティを隠すことができます。これらの第一世代のルートキットは、同じ情報にアクセスできるように侵害されていないTripwireなどのツールを使用することで簡単に検出できました。 [ 5 ] [ 6 ]レーン デイビスとスティーブン デイクは、1990 年にサン マイクロシステムズSunOS UNIX オペレーティング システム用に、最も初期のルートキットを作成しました。[ 7 ] Unixの生みの親の 1 つであるベル研究所ケン トンプソンは、 1983 年のチューリング賞受賞時の講演で、Unix ディストリビューションのC コンパイラを破壊する理論を立て、そのエクスプロイトについて説明しました。修正されたコンパイラは、Unixコマンドをコンパイルしようとする試みを検知し、ユーザーの正しいパスワードだけでなく、攻撃者が知っている追加の「バックドア」パスワードも受け入れる改変されたコードを生成します。さらに、コンパイラは新しいバージョンのコンパイラをコンパイルしようとする試みも検知し、同じエクスプロイトを新しいコンパイラに挿入します。コマンドまたは更新されたコンパイラのソースコードを検査しても、悪意のあるコードは発見されませんでした。[ 8 ]このエクスプロイトはルートキットと同等でした。 loginlogin

1986年に発見された、パーソナルコンピュータを標的とした最初のコンピュータウイルスは、クローキング技術を用いて自身を隠蔽していました。Brainウイルスはブートセクタの読み取りを傍受し、それをディスク上の別の場所にリダイレクトし、元のブートセクタのコピーが保存されていました。[ 1 ] 時が経つにつれ、DOSウイルスのクローキング手法はより洗練されていきました。高度な技術には、低レベルのディスクINT 13H BIOS割り込み呼び出しをフックして、ファイルへの不正な変更を隠すことなどが含まれていました。[ 1 ]

Windows NTオペレーティングシステムを標的とした最初の悪意あるルートキットは1999年に登場しました。グレッグ・ホグランドが作成したNTRootkitと呼ばれるトロイの木馬です。[ 9 ] 2003年にはHackerDefenderが登場しました。 [ 1 ] Mac OS Xを標的とした最初のルートキットであるWeapox/Weapoxは2004年に登場しました。[ 10 ]一方、プログラマブルロジックコントローラ(PLC)を標的とした最初のルートキットはStuxnetワームでした。[ 11 ]

Lenovo BIOS ルートキット(Lenovo サービス エンジン)インシデント(2015 年)

2015年半ば、Lenovoが特定のコンシューマー向けPCに、ルートキットを内蔵したような動作をするファームウェアを搭載して出荷していたことが発覚しました。Lenovo Service Engine(LSE)と呼ばれるこの機能はシステムBIOSに組み込まれており、Windowsの起動前であっても起動時に実行されます。LSEは、Lenovoのシステムアップデートユーティリティと関連するプリインストールプログラムが削除された場合でも自動的に再インストールすることで、インストールされた状態を維持するように設計されています。ファームウェアに埋め込まれていたため、ユーザーがコードを検出したり削除したりすることは困難でした。Windowsをクリーンインストールした場合でも、LSEは削除されず、次回の再起動時に再インストールされてしまうのです。

その後、研究者らはLSEが深刻なセキュリティ問題を引き起こすことを発見しました。これは、バッファオーバーフローを介した権限昇格攻撃によって管理者レベルの制御権を奪取できる脆弱性です。これに対し、Lenovoは2015年にLSE機能を無効化・削除するためのBIOSアップデートと削除ユーティリティをリリースしました。MicrosoftWindowsのセキュリティガイドラインを更新し、このようなファームウェアの動作を禁止しました。これにより、Lenovoは新規システムにおけるLSEの使用を事実上中止せざるを得なくなりました。LSE機能は後続モデルから削除され、Lenovoはリスクを排除するために更新されたファームウェアをインストールするよう顧客に促しました。[ 12 ] [ 13 ]

スタックスネット(2010年)

2010年に発見されたスタックスネットは、イランの核施設を標的とした米国とイスラエルの共同諜報活動で開発された、高度に洗練されたワームでした。注目すべきは、Windowsカーネルモードのルートキットが含まれていたことです。このルートキットはマルウェアのファイルとプロセスを隠蔽し、産業用制御システムを密かに妨害することができました。スタックスネットは、イランのウラン遠心分離機の大部分を破壊したにもかかわらず、検知が困難であったことから、最初のサイバー兵器としてしばしば言及されています。[ 14 ] [ 15 ] [ 16 ]

ソニーBMGコピープロテクトルートキットスキャンダル(2005年)

RootkitRevealerのスクリーンショット。Extended Copy Protectionルートキットによって隠されたファイルを示しています。

2005年、ソニーBMGは、ソフトウェア会社First 4 Internetが開発したExtended Copy Protectionと呼ばれるコピー防止機能デジタル著作権管理ソフトウェアを搭載したCDを発売しました。このソフトウェアには音楽プレーヤーが含まれていましたが、ユーザーがCDにアクセスするのを制限するルートキットが密かにインストールされていました。[ 17 ]ルートキット検出ツールRootkitRevealerを開発したソフトウェアエンジニアのMark Russinovich氏は、自分のコンピュータの1台でこのルートキットを発見しました。[ 1 ]このスキャンダルにより、ルートキットに対する世間の関心が高まりました。[ 18 ]このルートキットは、自身を隠すために「$sys$」で始まるファイルをユーザーから隠していました。Russinovich氏の報告後まもなく、影響を受けたシステム上の既存のルートキットを利用するマルウェアが登場しました。[ 1 ]あるBBCアナリストはこれを「広報上の悪夢」と呼びました。[ 19 ]ソニーBMGはルートキットをアンインストールするパッチリリースしましたが、ユーザーはさらに深刻な脆弱性にさらされることになりました。[ 20 ]同社は最終的にCDをリコールした。米国ではソニーBMGに対して集団訴訟が提起された。 [ 21 ]

ギリシャ盗聴事件(2004~2005年)

2004年から2005年にかけてのギリシャ盗聴事件(ギリシャ・ウォーターゲート事件とも呼ばれる)[ 22 ]は、ボーダフォン・ギリシャのネットワーク上で、主にギリシャ政府関係者や高級公務員の携帯電話100台以上が 違法に盗聴された事件である。盗聴は2004年8月初旬頃に開始され、犯人の身元が判明することなく2005年3月に解除された。侵入者はエリクソンのAXE電話交換機を標的としたルートキットをインストールした。IEEE Spectrumによると、これは「特殊用途システム、この場合はエリクソンの電話交換機でルートキットが観測された初めてのケース」であった。[ 23 ]このルートキットは、交換機の動作中にメモリにパッチを当て、監査ログを無効にして盗聴を有効にし、アクティブなプロセスとアクティブなデータブロックをリストするコマンドにパッチを当て、データブロックのチェックサム検証コマンドを変更するように設計されていた。 「バックドア」により、システム管理者権限を持つオペレーターは、取引所の取引ログ、アラーム、監視機能に関連するアクセスコマンドを無効にすることができました。[ 23 ]ルートキットは、侵入者が欠陥のあるアップデートをインストールした後に発見されました。このアップデートによりSMSテキストが配信不能となり、自動障害レポートが生成されました。エリクソンのエンジニアが調査に呼ばれ、監視対象の電話番号リストを含む隠しデータブロック、ルートキット、そして不正な監視ソフトウェアを発見しました。

用途

現代のルートキットはアクセス権限を昇格するのではなく、[ 4 ]ステルス機能を追加することで別のソフトウェアペイロードを検出不能にするために使用されます。[ 9 ]ほとんどのルートキットは、バンドルされているペイロードが悪意のあるものであるため、マルウェアに分類されます。たとえば、ペイロードは密かにユーザーのパスワードクレジットカード情報、コンピューティングリソースを盗んだり、その他の許可されていないアクティビティを実行したりする可能性があります。少数のルートキットは、ユーザーによってユーティリティアプリケーションと見なされる場合があります。たとえば、ルートキットはCD-ROMエミュレーションドライバーを隠蔽し、ビデオゲームのユーザーが、ソフトウェアが正当に購入されたことを確認するために元のインストールメディアを物理的な光学ドライブに挿入することを要求する 著作権侵害対策を回避できるようにします。

ルートキットとそのペイロードには多くの用途があります。

場合によっては、ルートキットは必要な機能を提供するため、コンピューター ユーザーに代わって意図的にインストールされることがあります。

種類

ルートキットには少なくとも5つの種類があり、ファームウェアの最下位レベル(最高権限)にあるものから、リング3で動作する最低権限のユーザーベースの亜種まで多岐にわたります。これらのハイブリッドな組み合わせは、例えばユーザーモードとカーネルモードにまたがって発生する可能性があります。[ 31 ]

ユーザーモード

Intel ベースのコンピュータ セキュリティリング(リング -1は表示されません)

ユーザーモードルートキットは、低レベルのシステムプロセスではなく、他のアプリケーションと共にリング3でユーザーとして実行されます。 [ 32 ]アプリケーションプログラミングインターフェース(API)の標準的な動作を傍受して変更するためのインストールベクトルは複数存在します。動的リンクライブラリ( Windowsでは.DLLファイル、 Mac OS Xでは.dylibファイルなど)を他のプロセスに挿入し、任意のターゲットプロセス内で実行して偽装するものもあれば、十分な権限を持つルートキットはターゲットアプリケーションのメモリを上書きするだけのものもあります。挿入メカニズムには以下のものがあります。[ 32 ]

ユーザーモードアプリケーションはすべて独自のメモリ空間で実行されるため、ルートキットは実行中のすべてのアプリケーションのメモリ空間でこのパッチ適用を実行する必要があります。さらに、ルートキットはシステム上で実行される新しいアプリケーションを監視し、それらのプログラムが完全に実行される前にメモリ空間にパッチを適用する必要があります。

— Windowsルートキットの概要、シマンテック[ 4 ]

カーネルモード

カーネルモード ルートキットは、コードを追加するか、カーネルと関連デバイス ドライバーの両方を含むコア オペレーティング システムの一部を置き換えることで、最高のオペレーティング システム権限 (リング 0 ) で実行されます。ほとんどのオペレーティング システムは、オペレーティング システム自体と同じ権限で実行するカーネルモード デバイス ドライバーをサポートしています。そのため、多くのカーネルモード ルートキットは、Linuxロード可能なカーネル モジュールMicrosoft Windowsデバイス ドライバーなどのデバイス ドライバーまたはロード可能なモジュールとして開発されています。このクラスのルートキットはセキュリティ アクセスが制限されませんが、作成がより困難です。[ 34 ]複雑さによりバグがよく発生し、カーネル レベルで動作するコードにバグがあると、システムの安定性に重大な影響が生じ、ルートキットが発見される可能性があります。[ 34 ]最初に広く知られるようになったカーネル ルートキットの 1 つは、Windows NT 4.0用に開発され、1999 年にGreg HoglundによってPhrackマガジンで公開されました。[ 35 ] [ 36 ]カーネルルートキットは、オペレーティングシステム自体と同じセキュリティレベルで動作するため、検出と削除が特に困難です。そのため、最も信頼されているオペレーティングシステムの動作を傍受したり、妨害したりすることができます。侵害されたシステム上で実行されているウイルス対策ソフトウェアなどのソフトウェアも同様に脆弱です。[ 37 ]このような状況では、システムのどの部分も信頼できません。

ルートキットは、直接カーネルオブジェクト操作(DKOM)と呼ばれる手法を用いて、Windowsカーネル内のデータ構造を改変することができます。 [ 38 ]この手法は、プロセスを隠蔽するために使用できます。カーネルモードのルートキットは、システムサービス記述子テーブル(SSDT)をフックしたり、ユーザーモードとカーネルモード間のゲートを改変したりすることで、自身を隠蔽することもできます。[ 4 ] Linuxオペレーティングシステムの場合も同様に、ルートキットはシステムコールテーブルを改変してカーネルの機能を損なうことができます。[ 39 ] [ 40 ]ルートキットは、他のマルウェアや感染したファイルの元のコピーを隠蔽するために、暗号化された隠しファイルシステムを作成することがよくあります。[ 41 ]オペレーティングシステムは、カーネルモードのルートキットの脅威に対抗するために進化しています。例えば、Microsoft Windowsの64ビット版では、信頼できないコードがシステム内で最高権限で実行されることをより困難にするために、すべてのカーネルレベルドライバに署名を義務付けるようになりました。[ 42 ]

ブートキット

ブートキットと呼ばれるカーネルモードルートキットの亜種は、マスターブートレコード(MBR)、ボリュームブートレコード(VBR)、ブートセクターなどの起動コードに感染し、ディスク全体を暗号化するシステムへの攻撃に利用されます。 [ 43 ] ディスク暗号化に対するこのような攻撃の一例として、「Evil maid Attack(悪意のあるメイド攻撃)」が挙げられます。これは、攻撃者が無人コンピュータにブートキットをインストールする攻撃です。想定されるシナリオは、メイドが被害者がハードウェアを置き忘れたホテルの部屋に忍び込むというものです。[ 44 ]ブートキットは、正規のブートローダーを攻撃者が制御するブートローダーに置き換えます。通常、マルウェアローダーはカーネルがロードされた後、保護モードへの移行後も存続し、カーネルを侵害することができます。 [ 45 ] [ 46 ] [ 47 ]例えば、「Stoned Bootkit(ストーンドブートキット)」は、侵害されたブートローダーを使用して暗号化キーとパスワードを傍受することでシステムを侵害します。[ 48 ] 2010年、Alureonルートキットはマスターブートレコードを変更することで、Windows 7の64ビットカーネルモードドライバ署名の要件を破ることに成功しました。[ 49 ]ユーザーが望まないことを行うという意味でのマルウェアではありませんが、特定の「Vista Loader」または「Windows Loader」ソフトウェアは、起動時にRAMキャッシュバージョンのBIOSにACPI SLIC(システムライセンス内部コード)テーブルを挿入することで同様に動作し、 Windows VistaおよびWindows 7のアクティベーションプロセスを無効にします。 この攻撃ベクトルは、各システムに固有のマシン固有のキーを使用し、そのマシンでのみ使用できるWindows 8の(非サーバー)バージョンでは役に立たなくなりました。 [ 50 ]多くのウイルス対策企業は、ブートキットを削除するための無料のユーティリティとプログラムを提供しています。

ハイパーバイザーレベル

ルートキットは、概念実証として学術界でタイプIIハイパーバイザーとして作成されてきました。Intel VTAMD-Vなどのハードウェア仮想化機能を利用することで、このタイプのルートキットはリング1で動作し、標的のオペレーティングシステムを仮想マシンとしてホストします。これにより、ルートキットは元のオペレーティングシステムによるハードウェア呼び出しを傍受することができます。[ 6 ]通常のハイパーバイザーとは異なり、オペレーティングシステムより先にロードする必要はなく、仮想マシンに昇格する前にオペレーティングシステムにロードすることができます。[ 6 ]ハイパーバイザールートキットは、標的のカーネルを改ざんする必要はありませんが、ゲストオペレーティングシステムによって検出できないわけではありません。例えば、CPU命令のタイミングの違いが検出できる場合があります。[ 6 ] Microsoftミシガン大学の研究者が共同で開発した「SubVirt」ラボラトリールートキットは、仮想マシンベースルートキット(VMBR)の学術的な例です。 [ 51 ] Blue Pillソフトウェア もその一つです。 2009年、マイクロソフトとノースカロライナ州立大学の研究者らは、カーネルモードルートキットに対する汎用的な保護機能を提供するHooksafeと呼ばれるハイパーバイザー層アンチルートキットを実証した。 [ 52 ] Windows 10では、「デバイスガード」と呼ばれる新機能が導入され、仮想化技術を利用して、ルートキット型マルウェアに対するオペレーティングシステムの独立した外部保護機能を提供する。[ 53 ]

ファームウェアとハ​​ードウェア

ファームウェアルートキット、デバイスまたはプラットフォーム ファームウェアを使用して、ルータネットワーク カード[ 54 ]ハード ドライブ、システムBIOSなどのハードウェア内に永続的なマルウェア イメージを作成します。[ 32 ] [ 55 ]ファームウェアは通常コードの整合性が検査されないため、ルートキットはファームウェア内に隠れます。 John Heasman は、 ACPIファームウェア ルーチン[ 56 ]PCI拡張カードROM [ 57 ]の両方でファームウェア ルートキットの実行可能性を実証しました。2008 年 10 月、犯罪者はヨーロッパのクレジットカード読み取り機がインストールされる前に改ざんしました。このデバイスは携帯電話ネットワーク経由でクレジットカードの詳細を傍受して送信しました。[ 58 ] 2009 年 3 月、研究者の Alfredo Ortega とAnibal Sacco は、ディスクの交換とオペレーティング システムの再インストールにも耐えるBIOSレベルの Windows ルートキットの詳細を発表しました。 [ 59 ] [ 60 ] [ 61 ]数か月後、一部のノートパソコンのBIOSイメージに、Absolute CompuTraceまたはAbsolute LoJack for Laptopsと呼ばれる正規のルートキットがプリインストールされた状態で販売されていることが判明しました。これは盗難防止技術システムであり、研究者らは悪意のある目的に転用される可能性があることを示しました。[ 29 ]

Intel vProの一部であるIntel Active Management Technology は、帯域外管理を実装し、システムの電源がオフになっている場合でも、ホストプロセッサや BIOS を介さずに PC のリモート管理リモート制御リモート制御を管理者に提供します。リモート管理には、リモートでの電源投入と切断、リモートリセット、リダイレクトブート、コンソールリダイレクト、ブート前の BIOS 設定へのアクセス、受信および送信ネットワークトラフィックのプログラム可能なフィルタリング、エージェント存在確認、帯域外ポリシーベースのアラート通知、ハードウェア資産情報、永続的なイベントログ、OS がダウンしているときや PC の電源がオフになっているときでもアクセスできる専用メモリ(ハードドライブではない)に保存されたその他の情報などのシステム情報へのアクセスが含まれます。これらの機能の一部には、最も高度なルートキット、つまりメインコンピュータの周囲に構築された取り外し不可能な第 2 のスパイコンピュータが必要です。Sandy Bridge および将来のチップセットには、「紛失または盗難された PC を 3G 経由でリモートで強制終了および復元する機能」が搭載されています。チップセットに組み込まれたハードウェア ルートキットは、盗まれたコンピューターの回復、データの削除、または使用不能にすることに役立ちますが、制御権を握った可能性のある管理者やハッカーによる検出されないスパイやリダイレクトのプライバシーとセキュリティ上の懸念も生じます。

インストールとクローキング

ルートキットは、システムの制御権を取得するためにさまざまな手法を採用します。ルートキットの種類は、攻撃ベクトルの選択に影響します。最も一般的な手法は、セキュリティ上の脆弱性を悪用して、不正に権限を昇格することです。別のアプローチは、トロイの木馬を使用することです。これは、コンピュータユーザーを欺いて、ルートキットのインストールプログラムを無害なものとして信頼させます。この場合は、ソーシャルエンジニアリングによって、ルートキットが有益であるようにユーザーを説得します。[ 34 ]最小権限の原則が適用されない場合、ルートキットは昇格された(管理者レベルの)権限を明示的に要求する必要がないため、インストールタスクが容易になります。他の種類のルートキットは、ターゲットシステムに物理的にアクセスできるユーザーのみがインストールできます。一部のルートキットは、システムの所有者または所有者によって承認された人物によって、従業員の監視などの目的で意図的にインストールされることもあり、そのような破壊的な手法は不要になります。[ 62 ]悪意のあるルートキットのインストールの中には、配布に典型的なペイパーインストール(PPI)報酬方式を用いた商業目的のものもあります。[ 63 ] [ 64 ]

ルートキットはインストールされると、診断、スキャン、監視に使用される標準的なオペレーティングシステムのセキュリティツールやアプリケーションプログラミングインターフェース(API)を破壊または回避することで、ホストシステム内での存在を隠蔽するための積極的な手段を講じます。 [ 65 ]ルートキットは、他のプロセスへのコードの読み込み、ドライバカーネルモジュールのインストールまたは変更を通じて、オペレーティングシステムの中核部分の動作を変更することでこれを実現します。難読化技術には、実行中のプロセスをシステム監視メカニズムから隠蔽したり、システムファイルやその他の構成データを隠蔽したりすることが含まれます。[ 66 ]ルートキットが攻撃の証拠を隠すために、オペレーティングシステムのイベントログ機能を無効にすることは珍しくありません。ルートキットは理論上、あらゆるオペレーティングシステムの活動を破壊できます。[ 67 ] 「完璧なルートキット」は「完全犯罪」、つまり誰も気づかない犯罪に似ていると考えることができます。ルートキットは、システムへの完全なアクセス権を持つリング0(カーネルモード)にインストールされることが多いだけでなく、ウイルス対策ソフトウェアによる検出や「クリーニング」から逃れるために、様々な対策を講じます。これらの対策には、ポリモーフィズム(「シグネチャ」の検出を困難にする変更)、ステルス技術、再生成、マルウェア対策ソフトウェアの無効化またはオフ、[ 68 ]、研究者による発見・分析が容易になる可能性のある 仮想マシンへのインストールの回避などが含まれます。

検出

ルートキット検出における根本的な問題は、オペレーティングシステムが、特にカーネルレベルのルートキットによって改ざんされた場合、オペレーティングシステム自身またはそのコンポーネントへの不正な変更を検出できるとは限らないということです。[ 67 ]実行中のプロセスのリストやディレクトリ内のファイルのリストを要求するなどのアクションは、期待通りに動作するとは期待できません。言い換えれば、感染したシステム上で動作するルートキット検出機能は、カモフラージュに何らかの欠陥があるルートキット、またはカーネル内の検出ソフトウェアよりも低いユーザーモード権限で実行されるルートキットに対してのみ有効です。[ 34 ]コンピュータウイルスと同様に、ルートキットの検出と排除は、この対立の双方にとって絶え間ない闘争です。[ 67 ]検出には、ウイルスの「シグネチャ」(例:ウイルス対策ソフトウェア)、整合性チェック(例:デジタル署名)、差分ベースの検出(期待値と実際の結果の比較)、動作検出(例:CPU使用率やネットワークトラフィックの監視)など、さまざまなアプローチがあります。

カーネルモードのルートキットの場合、検出ははるかに複雑で、マルウェアがシステムの挙動を妨害している可能性のあるフックされた関数を探すためにシステムコールテーブルを注意深く精査する必要があるほか、 [ 69 ]メモリをフォレンジックスキャンして隠れたプロセスを示すパターンを探す必要もあります。 Unix のルートキット検出サービスには、 Zeppoo、[ 70 ] chkrootkitrkhunterOSSECなどがあります。 Windows の場合、検出ツールには Microsoft Sysinternals RootkitRevealer[ 71 ] Avast Antivirus[ 72 ] Sophos Anti-Rootkit、[ 73 ] F-Secure[ 74 ] Radix、[ 75 ] GMER[ 76 ] WindowsSCOPEなどがあります。 マルウェア作成者は使い古されたツールによる検出を逃れるためにコードを改良してテストするため、効果的であることが証明されたルートキット検出器は、最終的には自身の無効性に貢献することになります。[注 1 ]疑わしいオペレーティングシステムが動作していない状態でストレージを検査して検出すると、ルートキットがアクティブではなく疑わしい動作が抑制されているため、チェックソフトウェアによって認識されないルートキットを見逃す可能性があります。また、ルートキットが効果的に隠れている場合、ルートキットが動作している状態で従来のマルウェア対策ソフトウェアを実行すると失敗する可能性があります。

信頼できる代替メディア

オペレーティングシステムレベルのルートキット検出の最良かつ最も信頼性の高い方法は、感染が疑われるコンピュータをシャットダウンし、信頼できる代替メディア(「レスキュー」CD-ROMUSBフラッシュドライブなど)から起動しストレージをチェックすることです。[ 77 ]この手法は、ルートキットが実行されていない場合、その存在を積極的に隠すことができないため効果的です。

行動ベース

ルートキットを検出するための行動ベースのアプローチは、ルートキットに類似した行動を探すことでルートキットの存在を推測しようとする。例えば、システムをプロファイリングすることで、API呼び出しのタイミングや頻度、あるいは全体的なCPU使用率の違いをルートキットに起因するものと判断できる。この方法は複雑であり、誤検知率が高いという欠点がある。欠陥のあるルートキットは、システムに非常に明白な変更を加えることがある。例えば、Alureonルートキットは、セキュリティ更新によってコードの設計上の欠陥が露呈した後、Windowsシステムをクラッシュさせた。[ 78 ] [ 79 ]パケットアナライザーファイアウォール、または侵入防止システムのログは、ネットワーク環境におけるルートキットの行動の証拠を示す可能性がある。[ 31 ]

署名ベース

セキュリティソフトウェアベンダーは自社製品にルートキット検出機能を組み込んでいるものの、ウイルス対策製品が公開テストですべてのウイルスを検出できることは稀です(使用されるウイルスの種類や程度によって異なります)。ルートキットがウイルス対策スキャン中に隠れようとした場合、ステルス検出機能がそれを検知する可能性があります。また、ルートキットがシステムから一時的にアンロードしようとした場合でも、シグネチャ検出(または「フィンガープリンティング」)によって検出可能です。[ 80 ]この複合的なアプローチにより、攻撃者はウイルス対策プログラムを終了させようとする反撃メカニズム、つまり「レトロ」ルーチンを実装せざるを得なくなります。シグネチャベースの検出方法は、広く公開されているルートキットに対しては効果的ですが、特別に細工されたカスタムルートルートキットに対しては効果が低いです。[ 67 ]

差異に基づく

ルートキットを検出できる別の方法は、「信頼できる」生データとAPIから返される「汚染された」コンテンツを比較する方法です。例えば、ディスク上のバイナリをオペレーティングメモリ内のコピーと比較できます(一部のオペレーティングシステムでは、メモリ内のイメージはディスク上のイメージと同一である必要があります)。また、ファイルシステムまたはWindowsレジストリAPIから返された結果を、基盤となる物理ディスク上の生の構造と比較することもできます[ 67 ] [ 81 ]。ただし、前者の場合、メモリの再配置やシミングなどのオペレーティングシステムのメカニズムによって、有効な差異が生じる可能性があります。ルートキットは、このような差異ベースのスキャナや仮想マシン(後​​者はフォレンジック分析によく使用されます)の存在を検出し、差異が検出されないように動作を調整することがあります。差異ベースの検出は、 RussinovichRootkitRevealerツールによってSony DRMルートキットの検出に使用されました[ 1 ] 。

整合性チェック

rkhunterユーティリティは、SHA-1 ハッシュを使用してシステムファイルの整合性を検証します。

コード署名では、公開鍵基盤を用いて、ファイルが発行者によってデジタル署名されてから変更されているかどうかを確認します。あるいは、システム所有者または管理者は、インストール時に暗号ハッシュ関数を用いて「フィンガープリント」を計算することで、ディスク上のコードライブラリへのその後の不正な変更を検出することができます。[ 82 ]しかし、単純な手法では、インストール以降にコードが変更されたかどうかのみをチェックし、それ以前の改ざんは検出できません。フィンガープリントは、システムに変更が加えられるたびに、例えばセキュリティ更新プログラムやサービスパックのインストール後など、再作成する必要があります。ハッシュ関数はメッセージダイジェストを作成します。これは、ファイル内の各ビットから計算される比較的短いコードで、元のファイルへの変更はより小さく、メッセージダイジェストに大きな変更を加えるアルゴリズムを用いて生成されます。インストールされたファイルのメッセージダイジェストを定期的に再計算し、信頼できるメッセージダイジェストリストと比較することで、システムの変更を検出・監視できます。ただし、マルウェアが追加される前に元のベースラインが作成されている必要があります。

より高度なルートキットは、検査のためにファイルの未変更のコピーを提示したり、メモリや再構成レジスタのみにコード変更を加えたりすることで検証プロセスを覆すことができます。これらの変更は、後で期待値のホワイトリストと比較されます。[ 83 ]ハッシュ、比較、拡張操作を実行するコードも保護する必要があります。この文脈では、不変の信頼のルートの概念は、システムのセキュリティ特性を測定する最初のコード自体が、ルートキットやブートキットがシステムの最も基本的なレベルで侵害されないことを保証するために信頼されなければならないというものです。[ 84 ]

メモリダンプ

仮想メモリの完全なダンプを強制すると、アクティブなルートキット(カーネルモード ルートキットの場合はカーネル ダンプ)がキャプチャされ、生成されたダンプ ファイルに対してデバッガーを使用してオフラインフォレンジック分析を実行できるようになります。ルートキットは自身を隠す手段を講じることはできません。この手法は高度に専門化されており、非公開のソース コードデバッグ シンボルへのアクセスが必要になる場合があります。オペレーティング システムによって開始されるメモリ ダンプは、常にハイパーバイザー ベースのルートキットを検出するために使用できるわけではありません。ハイパーバイザー ベースのルートキットは、最低レベルのメモリ読み取り試行を傍受して破壊することができます[ 6 ] —このシナリオでは、マスク不可能割り込みを実装するハードウェア デバイスなどを使用してメモリをダンプする必要がある場合があります[ 85 ] [ 86 ]仮想マシンでは、侵害を受けたマシンのメモリを基盤となるハイパーバイザーから分析することも容易になるため、一部のルートキットは、この理由から仮想マシンへの感染を避けます。

除去

ルートキットを手動で削除するのは、一般的なコンピュータユーザーにとっては非常に難しい場合が多いが、[ 32 ]、多くのセキュリティソフトウェアベンダーが、通常ウイルス対策スイートの一部として、一部のルートキットを自動的に検出して削除するツールを提供している。2005年現在、マイクロソフトの月例のWindows悪意のあるソフトウェアの削除ツールは、一部の種類のルートキットを検出して削除することができる。[ 87 ] [ 88 ] また、Windows Defenderオフラインは、オペレーティングシステムが起動する前に信頼できる環境から実行されるため、ルートキットを削除できる。[ 89 ]一部のウイルス対策スキャナーは、ルートキットによる操作に対して脆弱なファイルシステムAPIをバイパスすることができる。その代わりに、生のファイルシステム構造に直接アクセスし、この情報を使用してシステムAPIからの結果を検証し、ルートキットによって生じた可能性のある差異を特定する。[注 2 ] [ 90 ] [ 91 ] [ 92 ] [ 93 ]ルートキットを削除する唯一の確実な方法は、信頼できるメディアからオペレーティングシステムを再インストールすることだと考える専門家もいます。[ 94 ] [ 95 ]これは、信頼できないシステムで実行されているウイルス対策ツールやマルウェア除去ツールは、巧妙に作成されたカーネルモードルートキットに対して効果がない可能性があるためです。信頼できるメディアから代替オペレーティングシステムを起動することで、感染したシステムボリュームをマウントし、安全にクリーンアップして重要なデータをコピーできる可能性があります。あるいは、フォレンジック調査を実施することもできます。[ 31 ] Windows PEWindows回復コンソールWindows回復環境BartPELive Distroなどの軽量オペレーティングシステムは、この目的に使用でき、システムを「クリーンアップ」することができます。ルートキットの種類と性質が判明していても、手動での修復は現実的ではない場合があり、オペレーティングシステムとアプリケーションの再インストールはより安全で、簡単かつ迅速です。[ 94 ]

防御

システムの強化は、ルートキットに対する防御の最前線の一つであり、そもそもルートキットがインストールされるのを防ぎます。[ 96 ]セキュリティパッチの適用、最小権限の原則の実装、攻撃対象領域の縮小、ウイルス対策ソフトウェアのインストールは、あらゆる種類のマルウェアに有効な標準的なセキュリティのベストプラクティスです。[ 97 ] UEFIなどの新しいセキュアブート仕様は、ブートキットの脅威に対処するために設計されていますが、それらが提供するセキュリティ機能が利用されなければ、脆弱になる可能性があります。[ 55 ]サーバーシステムの場合、Intel Trusted Execution Technology (TXT)などの技術を使用したリモートサーバー認証は、サーバーが既知の良好な状態にあることを確認する手段を提供します。例えば、Microsoft Bitlockerの保存データの暗号化は、サーバーが起動時に既知の「良好な状態」にあることを確認します。PrivateCore vCageは、サーバーが起動時に既知の「良好な」状態にあることを確認することで、使用中のデータ(メモリ)を保護し、ブートキットやルートキットの侵入を防ぐソフトウェアです。PrivateCoreの実装はIntel TXTと連携し、サーバーのシステムインターフェースをロックダウンすることで、潜在的なブートキットやルートキットを回避します。

もう一つの防御機構である仮想壁(VTW)アプローチは、ルートキット検出機能とイベントトレース機能を備えた軽量ハイパーバイザーとして機能します。通常動作(ゲストモード)ではLinuxが動作し、ロードされたLKMがセキュリティポリシーに違反すると、システムはホストモードに切り替わります。ホストモードのVTWは、メモリアクセス制御とイベントインジェクションメカニズムに基づいて、ルートキットイベントを検出、トレース、分類します。実験結果は、VTWが最小限のCPUオーバーヘッド(2%未満)でカーネルルートキットをタイムリーに検出し防御する有効性を実証しています。VTWは他の防御機構と比較して優れており、実装の簡便性とLinuxサーバーにおける潜在的なパフォーマンス向上が強調されています。[ 98 ]

参照

注記

  1. ^ Sysinternals RootkitRevealer のプロセス名がマルウェアの標的となったため、この対策に対抗するため、ツールではランダムに生成されたプロセス名が使用されるようになりました。
  2. ^理論上は、十分に洗練されたカーネルレベルのルートキットは、生のファイルシステムデータ構造に対する読み取り操作も破壊し、API によって返される結果と一致させることもできます。

参考文献

  1. ^ a b c d e f g h「ルートキット、パート1/3:増大する脅威」(PDF) . McAfee . 2006年4月17日. 2006年8月23日時点のオリジナル(PDF)からアーカイブ。
  2. ^ Evancich, N.; Li, J. (2016-08-23). 「6.2.3 ルートキット」 . Colbert, Edward JM; Kott, Alexander (編). SCADAおよびその他の産業用制御システムのサイバーセキュリティ. Springer. p. 100. ISBN 9783319321257– Google ブックス経由。
  3. ^ 「ルートキットとは何か – 定義と解説」 www.kaspersky.com 2021年4月9日 2021年11月13日閲覧
  4. ^ a b c d「Windows Rootkit の概要」(PDF) . Symantec . 2006年3月26日. 2010年12月14日時点のオリジナル(PDF)からアーカイブ。 2010年8月17日閲覧
  5. ^ Sparks, Sherri; Butler, Jamie (2005-08-01). 「Windowsルートキット検出の基準を引き上げる」. Phrack . 0xb (x3d).
  6. ^ a b c d e Myers, Michael; Youndt, Stephen (2007-08-07). ハードウェア支援型仮想マシン(HVM)ルートキット入門(レポート). Crucial Security. CiteSeerX 10.1.1.90.8832 . 
  7. ^ Andrew Hay、Daniel Cid、Rory Bray (2008). OSSEC ホストベース侵入検知ガイド. Syngress. p. 276. ISBN 978-1-59749-240-9– Google ブックス経由。
  8. ^ Thompson, Ken (1984年8月). 「Reflections on Trusting Trust」(PDF) . Communications of the ACM . 27 (8): 761. doi : 10.1145/358198.358210 . 2007年9月24日時点のオリジナルよりアーカイブ(PDF) . 2010年6月9日閲覧
  9. ^ a bグレッグ・ホグランド、ジェームズ・バトラー (2006). 『ルートキット:Windowsカーネルの破壊』 Addison-Wesley. p. 4. ISBN 978-0-321-29431-9– Google ブックス経由。
  10. ^ Ferrie, Peter (2005年7月1日). “Got [Mac]Root? (PDF) . Virus Bulletin . 2022年5月28日時点のオリジナルよりアーカイブ(PDF) . 2025年10月3日閲覧
  11. ^ 「Stuxnet、産業用制御システム向けの初のルートキットを発表」 Symantec 2010年8月6日。2010年8月20日時点のオリジナルよりアーカイブ2010年12月4日閲覧。
  12. ^ 「Lenovo、BIOSに隠してWindowsノートパソコンに削除不可能なクラップウェアを詰め込む」 2025年9月6日時点のオリジナルよりアーカイブ。 2025年10月26日閲覧
  13. ^ Hern, Alex (2015年8月14日). 「Lenovo、セキュリティ懸念からLSEコンポーネントを削除、再び実行」 . The Guardian . ISSN 0261-3077 . 2025年10月26日閲覧。 
  14. ^ 「Stuxnetは史上最高のマルウェアか?」 Computerworld . 2025年10月26日閲覧
  15. ^ 「Stuxnetの真実 - IEEE Spectrum」spectrum.ieee.org . 2025年10月26日閲覧
  16. ^ Weinberger, Sharon (2011-06-01). 「コンピュータセキュリティ:これはサイバー戦争の始まりか?」 . Nature . 474 (7350): 142– 145. doi : 10.1038/474142a . ISSN 1476-4687 . 
  17. ^ 「スパイウェアの詳細:XCP.Sony.Rootkit」 . Computer Associates . 2005年11月5日 . 2010年8月18日時点のオリジナルよりアーカイブ2010年8月19日閲覧。
  18. ^ Russinovich, Mark (2005年10月31日). 「Sony、ルートキット、そしてデジタル著作権管理は行き過ぎている」 . TechNet Blogs . Microsoft . 2016年1月1日時点のオリジナルよりアーカイブ。 2010年8月16日閲覧
  19. ^ 「ソニーの長期にわたるルートキットCD問題」 BBCニュース、2005年11月21日。2012年7月15日時点のオリジナルよりアーカイブ。 2008年9月15日閲覧
  20. ^ Felton, Ed (2005年11月15日). 「ソニーのウェブベースのアンインストーラーに大きなセキュリティホールが発生、ソニーがディスクをリコールへ」 .
  21. ^ Knight, Will (2005年11月11日). 「ソニーBMG、音楽CDのクローキングソフトウェアで訴訟」 . New Scientist . 2011年1月15日時点のオリジナルよりアーカイブ。 2010年11月21日閲覧
  22. ^ Kyriakidou、Dina (2006 年 3 月 2 日)。「ギリシャのウォーターゲート事件が政治的衝撃波を送る」ロイター通信2007年11月24日閲覧
  23. ^ a b Vassilis Prevelakis、Diomidis Spinellis (2007年7月). 「アテネ事件」 . 2009年8月1日時点のオリジナルよりアーカイブ
  24. ^ Russinovich, Mark (2005年6月). 「Unearthing Root Kits」 . Windows IT Pro . 2012年9月18日時点のオリジナルよりアーカイブ。 2010年12月16日閲覧
  25. ^ Marks, Joseph (2021年7月1日). 「サイバーセキュリティ202:司法省の将来はハッカーを起訴するだけでなく、阻止することにある」 .ワシントン・ポスト. 2022年2月7日時点のオリジナルよりアーカイブ。 2021年7月24日閲覧
  26. ^ Steve Hanna (2007年9月). 「ハニーポットベースのマルウェア検出におけるルートキット技術の利用」(PDF) . CCEIDミーティング.
  27. ^ Russinovich, Mark (2006年2月6日). 「ルートキットを使ってデジタル著作権管理を破る」 Winternals SysInternals . 2006年8月14日時点のオリジナルよりアーカイブ。 2006年8月13日閲覧
  28. ^ 「シマンテック、自社ルートキットのアップデートをリリース」 HWM 2006年3月):89ページ – Googleブックス経由。
  29. ^ a b Ortega, Alfredo; Sacco, Anibal (2009-07-24). Deactivate the Rootkit: Attacks on BIOS anti-theft technologies (PDF) . Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies. 2014年10月16日時点のオリジナルよりアーカイブ(PDF) . 2014年6月12日閲覧
  30. ^ Kleissner, Peter (2009年9月2日). 「Stoned Bootkit: The Rise of MBR Rootkits & Bootkits in the Wild」(PDF) . 2011年7月16日時点のオリジナル(PDF)からアーカイブ。 2010年11月23日閲覧
  31. ^ a b cアンソン、スティーブ; バンティング、スティーブ (2007). 『Windowsネットワークフォレンジックと調査のマスター』 ジョン・ワイリー・アンド・サンズ. pp.  73– 74. ISBN 978-0-470-09762-5
  32. ^ a b c d「ルートキット パート2:技術入門」(PDF) . McAfee . 2007年4月3日. 2008年12月5日時点のオリジナル(PDF)からアーカイブ。 2010年8月17日閲覧
  33. ^ Kdm. 「NTIllusion: ポータブル Win32 ユーザーランド ルートキット」 . Phrack . 62 (12). 2012年9月12日時点のオリジナルよりアーカイブ2025年8月20日閲覧。
  34. ^ a b c d「マルウェア対策テクノロジについて」(PDF) . Microsoft . 2007年2月21日. 2010年9月11日時点のオリジナル(PDF)からアーカイブ。 2010年8月17日閲覧
  35. ^ Hoglund, Greg (1999年9月9日). 「本物のNTルートキット、NTカーネルへのパッチ適用」 . Phrack . 9 (55). 2012年7月14日時点のオリジナルよりアーカイブ。 2010年11月21日閲覧
  36. ^チュヴァキン、アントン(2003-02-02)。Unix ルートキットの概要(PDF) (レポート)。バージニア州シャンティリー: iDEFENSE。2011 年 7 月 25 日にオリジナル(PDF)からアーカイブされました2010 年 11 月 21 日に取得
  37. ^ Butler, James; Sparks, Sherri (2005年11月16日). 「2005年のWindowsルートキット、パート2」 . Symantec Connect . Symantec . 2010年11月13日閲覧
  38. ^ Butler, James; Sparks, Sherri (2005年11月3日). 「2005年のWindowsルートキット、パート1」 . Symantec Connect . Symantec. 2021年1月21日時点のオリジナルよりアーカイブ。 2010年11月12日閲覧
  39. ^ Burdach, Mariusz (2004年11月17日). 「Linuxにおけるルートキットとカーネルレベルの侵害の検出」 . Symantec . 2020年8月10日時点のオリジナルよりアーカイブ。 2010年11月23日閲覧
  40. ^ Osborne, Charlie (2019年9月17日). 「Skidmapマルウェア、カーネルに潜入し違法仮想通貨マイニングを隠蔽」 . ZDNet . 2021年7月25日時点のオリジナルよりアーカイブ。 2021年7月24日閲覧
  41. ^ Marco Giuliani (2011年4月11日). 「ZeroAccess – 高度なカーネルモードルートキット」(PDF) . Webroot Software . 2011年8月25日時点のオリジナルよりアーカイブ(PDF) . 2011年8月10日閲覧。
  42. ^ 「Windowsのドライバー署名要件」。Microsoft 2012年5月30日時点のオリジナルよりアーカイブ2008年7月6日閲覧。
  43. ^ Salter, Jim (2020年7月31日). 「Red HatおよびCentOSシステムがBootHoleパッチのせいで起動しない」 . Ars Technica . 2021年7月24日閲覧
  44. ^シュナイアー、ブルース(2009年10月23日). "「『Evil Maid』が暗号化ハードドライブを攻撃」。2012年9月11日時点のオリジナルよりアーカイブ2009年11月7日閲覧。
  45. ^ Soeder, Derek; Permeh, Ryan (2007-05-09). 「Bootroot」 . eEye Digital Security. 2013年8月17日時点のオリジナルよりアーカイブ。 2010年11月23日閲覧
  46. ^ Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Windows Vistaのセキュリティ侵害(PDF) . Black Hat Europe 2007 .
  47. ^ 「BOOT KIT: カスタムブートセクターベースのWindows 2000/XP/2003 Subversion」 . NVlabs . 2007年2月4日. 2010年6月10日時点のオリジナルよりアーカイブ。 2010年11月21日閲覧
  48. ^ Kleissner, Peter (2009年10月19日). 「Stoned Bootkit」 . Peter Kleissner. 2012年9月21日時点のオリジナルよりアーカイブ2009年11月7日閲覧。
  49. ^ Goodin, Dan (2010年11月16日). 「世界で最も高度なルートキットが64ビットWindowsに侵入」 . The Register . 2010年11月21日時点のオリジナルよりアーカイブ。 2010年11月22日閲覧
  50. ^ Francisco, Neil McAllister in San. "Microsoft tightens grip on OEM Windows 8 licensing" . www.theregister.com . 2021年10月8日時点のオリジナルよりアーカイブ。2021年10月8日閲覧
  51. ^ King, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (2006-04-03). 「SubVirt: 仮想マシンによるマルウェア実装」(PDF) . 2006 IEEE Symposium on Security and Privacy (S&P'06) . Institute of Electrical and Electronics Engineers . pp. 14-327. doi : 10.1109/SP.2006.38 . ISBN 0-7695-2574-1. S2CID  1349303 . 2008年12月7日にオリジナルからアーカイブ(PDF) . 2008年9月15日閲覧.
  52. ^ Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (2009-08-11). 「軽量フック保護によるカーネルルートキット対策」(PDF) . Al-Shaer, Ehab (General Chair) (ed.). Proceedings of the 16th ACM Conference on Computer and Communications Security . CCS 2009: 16th ACM Conference on Computer and Communications Security . Jha, Somesh; Keromytis, Angelos D. (Program Chairs). New York: ACM New York. doi : 10.1145/1653662.1653728 . ISBN 978-1-60558-894-0. 2009年12月29日時点のオリジナルよりアーカイブ(PDF) . 2009年11月11日閲覧
  53. ^ 「Device Guard は、Windows Defender アプリケーション制御と仮想化ベースのコード整合性保護を組み合わせたものです (Windows 10)」。2023 年 7 月 11 日。
  54. ^ Delugré, Guillaume (2010-11-21). Broacom NetExtreme のファームウェアのリバース(PDF) . hack.lu. Sogeti.オリジナル(PDF)から2012-04-25 にアーカイブ。2010-11-25閲覧
  55. ^ a b「ハッキングチームがUEFI BIOSルートキットを使ってRCS 9エージェントを標的システムに残す - TrendLabs セキュリティインテリジェンスブログ」 2015年7月13日. 2015年7月23日時点のオリジナルよりアーカイブ。 2015年7月15日閲覧
  56. ^ Heasman, John (2006年1月25日). ACPI BIOSルートキットの実装と検出(PDF) . Black Hat Federal 2006. NGS Consulting. 2011年2月27日時点のオリジナルよりアーカイブ(PDF) . 2010年11月21日閲覧.
  57. ^ Heasman, John (2006年11月15日). 「PCIルートキットの実装と検出」(PDF) . 次世代セキュリティソフトウェア. CiteSeerX : 10.1.1.89.7305 . 2010年11月13日閲覧.
  58. ^ Modine, Austin (2008年10月10日). 「組織犯罪が欧州のカードスワイプデバイスを改ざん:顧客データが海外へ送信」 The Register . Situation Publishing. 2008年10月13日時点のオリジナルよりアーカイブ。 2008年10月13日閲覧
  59. ^ Sacco, Anibal; Ortéga, Alfredo (2009). BIOSの永続的感染(PDF) . CanSecWest 2009. Core Security Technologies.オリジナル(PDF)から2011年7月8日にアーカイブ。 2010年11月21日閲覧
  60. ^ Goodin, Dan (2009年3月24日). 「新型ルートキット、ハードディスク消去を生き残る」 The Register . Situation Publishing . 2009年3月25日閲覧
  61. ^ Sacco, Anibal; Ortéga, Alfredo (2009年6月1日). 「永続的なBIOS感染:早起きは三文の徳」 . Phrack . 66 (7). 2012年7月17日時点のオリジナルよりアーカイブ。 2010年11月13日閲覧
  62. ^リック・ヴィーラー (2007)。プロフェッショナルなルートキット。ジョン・ワイリー&サンズ。 p. 244.ISBN 9780470149546
  63. ^ Matrosov, Aleksandr; Rodionov, Eugene (2010-06-25). 「TDL3: The Rootkit of All Evil?」(PDF) . モスクワ: ESET . p. 3. 2011-05-13時点のオリジナル(PDF)からのアーカイブ。2010-08-17閲覧
  64. ^ Matrosov, Aleksandr; Rodionov, Eugene (2011-06-27). 「TDLの進化:x64の征服」(PDF) . ESET . 2015-07-29時点のオリジナル(PDF)からアーカイブ。2011-08-08閲覧
  65. ^ Gatlan, Sergiu (2021年5月6日). 「Windowsシステムにバックドアを仕掛けるために実際に使用されている新しいMoriyaルートキット」 . Bleeping Computer . 2021年7月24日閲覧
  66. ^ Brumley, David (1999年11月16日). 「Invisible Intruders: rootkits in practice」 . USENIX . 2012年5月27日時点のオリジナルよりアーカイブ。 2007年8月27日閲覧
  67. ^ a b c d eデイビス, マイケル・A.; ボドマー, ショーン; ルマスターズ, アーロン (2009年9月3日). 「第10章 ルートキット検出」(PDF) . 『Hacking Exposed Malware & Rootkits: Malware & rootkits security secrets & solutions』 ニューヨーク: McGraw Hill Professional. ISBN 978-0-07-159118-8. 2012年3月8日にオリジナル(PDF)からアーカイブ2010年8月14日閲覧。
  68. ^ Trlokom (2006年7月5日). 「ルートキットとキーロガーの撃退」(PDF) . Trlokom.オリジナル(PDF)から2011年7月17日にアーカイブ2010年8月17日閲覧。
  69. ^ダイ・ゾヴィ、ディノ (2011). 「カーネル ルートキット」2012 年 9 月 10 日のオリジナルからアーカイブ2012 年9 月 13 日に取得
  70. ^ "Zeppoo" . SourceForge . 2009年7月18日. 2011年8月8日閲覧
  71. ^ Cogswell, Bryce; Russinovich, Mark (2006年11月1日). 「RootkitRevealer v1.71」 . Microsoft . 2017年7月1日時点のオリジナルよりアーカイブ2010年11月13日閲覧。
  72. ^ 「ルートキットとアンチルートキット」 。 2017年9月13日閲覧
  73. ^ 「Sophos Anti-Rootkit」Sophos。 2012年921日時点のオリジナルよりアーカイブ2011年8月8日閲覧。
  74. ^ "BlackLight" . F-Secure . 2012年9月21日時点のオリジナルよりアーカイブ2011年8月8日閲覧。
  75. ^ 「Radix Anti-Rootkit」 usec.at。2012年9月21日時点のオリジナルよりアーカイブ2011年8月8日閲覧。
  76. ^ "GMER" . 2012年8月2日時点のオリジナルよりアーカイブ2011年8月8日閲覧。
  77. ^ Harriman, Josh (2007-10-19). 「ルートキット除去の有効性に関するテスト方法」(PDF) . アイルランド、ダブリン: Symantec Security Response. 2009-10-07時点のオリジナル(PDF)からアーカイブ。2010-08-17閲覧
  78. ^ Cuibotariu, Mircea (2010-02-12). 「TidservとMS10-015」 . Symantec . 2010年8月19日閲覧。
  79. ^ 「MS10-015 インストール後の再起動の問題」 . Microsoft . 2010年2月11日. 2010年10月5日閲覧
  80. ^ Steinberg, Joseph (2021年6月9日). 「キーロガーについて知っておくべきこと」 . bestantivirus.com . 2023年6月4日時点のオリジナルよりアーカイブ2021年7月24日閲覧。
  81. ^ 「Strider GhostBuster Rootkit Detection」 . Microsoft Research. 2010年1月28日. 2012年7月29日時点のオリジナルよりアーカイブ。 2010年8月14日閲覧
  82. ^ 「Authenticodeによるコードの署名とチェック」 Microsoft . 2008年12月29日時点のオリジナルよりアーカイブ2008年9月15日閲覧。
  83. ^ 「ネットワークエッジでのルートキットの阻止」(PDF)オレゴン州ビーバートン:Trusted Computing Group 2017年1月 2008年7月11日閲覧
  84. ^ 「TCG PC固有実装仕様、バージョン1.1」(PDF) . Trusted Computing Group . 2003年8月18日. 2011年9月28日時点のオリジナルよりアーカイブ(PDF) . 2010年11月22日閲覧
  85. ^ 「WindowsベースのシステムでNMIを使用して完全なクラッシュダンプファイルまたはカーネルクラッシュダンプファイルを生成する方法」。Microsoft 。 2015年3月24時点のオリジナルからアーカイブ。 2010年11月13日閲覧
  86. ^ Seshadri, Arvind; et al. (2005). 「Pioneer」.第20回ACMオペレーティングシステム原理シンポジウム議事録.カーネギーメロン大学. pp.  1– 16. doi : 10.1145/1095810.1095812 . ISBN 1595930795. S2CID  9960430 .
  87. ^ Dillard, Kurt (2005年8月3日). 「Rootkit battle: Rootkit Revealer vs. Hacker Defender」 . 2012年7月13日時点のオリジナルよりアーカイブ2010年10月5日閲覧。
  88. ^ 「Microsoft Windows 悪意のあるソフトウェアの削除ツールは、Windows 7、Windows Vista、Windows Server 2003、Windows Server 2008、または Windows XP を実行しているコンピューターから、特定の蔓延している悪意のあるソフトウェアを削除するのに役立ちます」。Microsoft 2010年9月14日。2016年12月30日時点のオリジナルからアーカイブ。 2016年5月16日閲覧
  89. ^ベタニー、アンドリュー、ハルシー、マイク (2017). Windows ウイルスとマルウェアのトラブルシューティング. Apress. p. 17. ISBN 9781484226070– Google ブックス経由。
  90. ^ Hultquist, Steve (2007年4月30日). 「ルートキット:企業にとっての次なる大きな脅威?」 InfoWorld . 2015年9月26日時点のオリジナルよりアーカイブ。 2010年11月21日閲覧
  91. ^ 「セキュリティウォッチ:楽しみと利益のためのルートキット」 CNETレビュー、2007年1月19日。2012年10月8日時点のオリジナルよりアーカイブ2009年4月7日閲覧。
  92. ^ Bort, Julie (2007年9月29日). 「ボットネットに対抗する6つの方法」 . PCWorld . サンフランシスコ: PCWorld Communications. 2012年10月11日時点のオリジナルよりアーカイブ。 2009年4月7日閲覧
  93. ^ Hoang, Mimi (2006年11月2日). 「今日の厳しいセキュリティ脅威への対処:ルートキット」 . Symantec Connect . Symantec . 2021年7月26日時点のオリジナルよりアーカイブ。 2010年11月21日閲覧
  94. ^ a bダンセグリオ、マイク、ベイリー、トニー (2005年10月6日). 「ルートキット:知られざるハッカー攻撃」 . マイクロソフト.
  95. ^ Messmer, Ellen (2006年8月26日). 「ルートキットの検出と除去をめぐり専門家の意見が分かれる」 NetworkWorld.com . Framingham, Mass.: IDG. 2024年11月2日時点のオリジナルよりアーカイブ。 2010年8月15日閲覧
  96. ^ Skoudis, Ed; Zeltser, Lenny (2004).マルウェア:悪意あるコードとの戦い. Prentice Hall PTR. p. 335. ISBN 978-0-13-101405-3
  97. ^ Hannel, Jeromey (2003年1月23日). 「Linux RootKits For Beginners - From Prevention to Removal」 SANS Institute . 2010年10月24日時点のオリジナル(PDF)からアーカイブ。 2010年11月22日閲覧
  98. ^ Li, Yong-Gang; Chung, Yeh-Ching; Hwang, Kai; Li, Yue-Jin (2021). 「仮想ウォール:Linuxカーネル機能を保護するためのルートキット攻撃のフィルタリング」. IEEE Transactions on Computers . 70 (10): 1640– 1653. Bibcode : 2021ITCmp..70.1640L . doi : 10.1109/TC.2020.3022023 . S2CID 226480878 . 

さらに読む

  • ビル・ブランデン(2009年)『ルートキットの兵器庫:システムの暗部における脱出と回避策』 Wordware. ISBN 978-1-59822-061-2
  • グレッグ・ホグランド、ジェームズ・バトラー(2005年)『ルートキット:Windowsカーネルの破壊』Addison-Wesley Professional. ISBN 978-0-321-29431-9
  • Grampp, FT; Morris, Robert H. Sr. (1984年10月). 「UNIXシステム:UNIXオペレーティングシステムのセキュリティ」. AT&T Bell Laboratories Technical Journal . 62 (8): 1649– 1672. doi : 10.1002/j.1538-7305.1984.tb00058.x . S2CID  26877484 .
  • コン、ジョセフ (2007)。BSD ルートキットの設計。スターチプレスは不要です。ISBN 978-1-59327-142-8
  • ヴェイラー、リック(2007年)『プロフェッショナル・ルートキット』Wrox. ISBN 978-0-470-10154-4
「 https://en.wikipedia.org/w/index.php?title=Rootkit&oldid=1334017300」より取得