ルートキットは、技術的に最も洗練された悪意のあるコード(マルウェア)の名前であり、発見と除去が最も難しいものの1つです。 あらゆる種類のマルウェアの中で、ウイルスとワームは一般に広く知られているため、おそらく最も有名になります。 多くの人がウイルスやワームの影響を受けていることが知られていますが、これはウイルスやワームが最も破壊的なマルウェアであることを意味するものではありません。 より危険な種類のマルウェアがあります。これは、通常、ステルスモードで動作し、検出と削除が困難であり、非常に長期間にわたって気付かれず、静かにアクセスし、データを盗み、被害者のマシン上のファイルを変更するためです。
そのようなひそかな敵の例としては、ルートキットがあります。これは、インストールに使用できるシステムへの管理者レベルのアクセスを得るために、実行可能プログラム、またはオペレーティングシステム自体のカーネルを置換または変更できるツールのコレクションですスパイウェア、キーロガー、その他の悪意のあるツール。 基本的に、ルートキットを使用すると、攻撃者は被害者のマシン(および場合によってはマシンが属するネットワーク全体)を完全にアクセスできます。 重大な損失/損害を引き起こすルートキットの既知の使用の1つは、ValveのHalf-Life 2:Sourceゲームエンジンのソースコードの盗難でした。
ルートキットは新しいものではありません。長年にわたって存在しており、さまざまなオペレーティングシステム(Windows、UNIX、Linux、Solarisなど)に影響を与えていることが知られています。 ルートキットインシデントの1回または2回の大規模な発生(有名な例のセクションを参照)が一般の注目を集めなかった場合、セキュリティ専門家の小さな輪を除いて、再び意識を逃れた可能性があります。 今日の時点で、ルートキットは他の形態のマルウェアほど広く普及していないため、破壊的な可能性を最大限に引き出していません。 ただし、これはあまり快適ではありません。
公開されたルートキットメカニズム
トロイの木馬、ウイルス、ワームと同様に、ルートキットは、多くの場合ユーザーの操作なしで、ネットワークセキュリティとオペレーティングシステムの欠陥を悪用して自身をインストールします。 電子メールの添付ファイルとして、または正当なソフトウェアプログラムのバンドルとして提供されるルートキットがありますが、ユーザーが添付ファイルを開くか、プログラムをインストールするまでは無害です。 しかし、それほど洗練されていない形式のマルウェアとは異なり、ルートキットはオペレーティングシステムに深く侵入し、システムファイルを変更するなどして、その存在を隠すための特別な努力をします。
基本的に、ルートキットには、カーネルレベルのルートキットとアプリケーションレベルのルートキットの2種類があります。 カーネルレベルのルートキットは、オペレーティングシステムのカーネルにコードを追加または変更します。 これは、システムドライバーを変更して攻撃者の存在を隠すデバイスドライバーまたはロード可能なモジュールをインストールすることで実現されます。 したがって、ログファイルを調べると、システム上で疑わしいアクティビティは見られません。 アプリケーションレベルのルートキットは、オペレーティングシステム自体ではなく、アプリケーションの実行可能ファイルを変更するため、それほど洗練されておらず、一般に検出が容易です。 Windows 2000は実行可能ファイルのすべての変更をユーザーに報告するため、攻撃者が気付かれることをより困難にします。
ルートキットがリスクをもたらす理由
ルートキットはバックドアとして機能することができ、通常はミッションの中で単独ではありません。多くの場合、スパイウェア、トロイの木馬、またはウイルスを伴います。 ルートキットの目的は、他人のコンピューターに侵入する(そして外国の存在の痕跡を隠す)単純な悪意のある喜びから、機密データ(クレジットカード番号、またはHalfの場合のようなソースコードを不正に取得するためのシステム全体の構築) -ライフ2)。
一般に、アプリケーションレベルのルートキットは危険性が低く、検出が容易です。 しかし、財務を追跡するために使用しているプログラムがルートキットに「パッチ」された場合、金銭的な損失が大きくなる可能性があります。つまり、攻撃者はクレジットカードのデータを使用していくつかのアイテムを購入できます。期限内にクレジットカードの残高に疑わしいアクティビティがあることに気付いた場合、そのお金を再び見ることはほとんどないでしょう。
カーネルレベルのルートキットと比較すると、アプリケーションレベルのルートキットは甘く無害に見えます。 どうして? 理論的には、カーネルレベルのルートキットはシステムへのすべての扉を開くからです。 ドアが開くと、他のマルウェアがシステムに侵入する可能性があります。 カーネルレベルのルートキット感染があり、それを簡単に検出および削除できない(または、次に説明するように)誰かがあなたのコンピューターを完全に制御し、任意の方法でそれを使用できることを意味します-たとえば、他のマシンで攻撃を開始し、攻撃が他の場所からではなく、お使いのコンピューターから発生しているという印象を与えます。
ルートキットの検出と削除
他の種類のマルウェアは簡単に検出して削除できるわけではありませんが、カーネルレベルのルートキットは特定の災害です。 ある意味では、キャッチ22です。ルートキットがある場合、ルートキット対策ソフトウェアに必要なシステムファイルが変更される可能性が高いため、チェックの結果を信頼できません。 さらに、ルートキットが実行されている場合、ウイルス対策プログラムが依存するファイルのリストまたは実行中のプロセスのリストを正常に変更して、偽のデータを提供できます。 また、実行中のルートキットは、ウイルス対策プログラムのプロセスをメモリから単にアンロードするだけで、アプリケーションがシャットダウンしたり、予期せず終了したりします。 ただし、これを行うことで間接的にその存在を示すため、特にシステムセキュリティを維持するソフトウェアでは、何か問題が発生した場合に疑わしくなります。
ルートキットの存在を検出する推奨方法は、クリーンであることがわかっている代替メディア(バックアップまたはレスキューCD-ROM)から起動し、疑わしいシステムをチェックすることです。 この方法の利点は、ルートキットが実行されないため(それ自体を非表示にできない)、システムファイルが積極的に改ざんされないことです。
ルートキットを検出(削除)する方法があります。 1つの方法は、元のシステムファイルのクリーンなMD5フィンガープリントを使用して、現在のシステムファイルのフィンガープリントを比較することです。 この方法はあまり信頼できませんが、何もしないよりはましです。 カーネルデバッガーを使用する方が信頼性は高くなりますが、オペレーティングシステムの深い知識が必要です。 特にMarc RussinovichのRootkitRevealerのように、ルートキットを検出するための無料の優れたプログラムがある場合、システム管理者の大部分でさえこれに頼ることはほとんどありません。 彼のサイトにアクセスすると、プログラムの使用方法に関する詳細な手順が表示されます。
コンピューター上でルートキットを検出した場合、次のステップはそれを取り除くことです(言うよりも簡単です)。 一部のルートキットでは、オペレーティングシステム全体も削除する場合を除き、削除はオプションではありません。 最も重要な解決策-感染したファイルを削除する(どのファイルが完全にクロークされているかがわかっている場合)ことは、重要なシステムファイルが関係している場合はまったく適用できません。 これらのファイルを削除すると、Windowsを再び起動できなくなる可能性があります。 UnHackMeやF-Secure BlackLight Betaなどのルートキット駆除アプリケーションをいくつか試すことができますが、害虫を安全に駆除するためにそれらをあまり頼りにしないでください。
ショック療法のように聞こえるかもしれませんが、ルートキットを削除する唯一の実証済みの方法は、ハードドライブをフォーマットし、オペレーティングシステムを再インストールすることです(もちろん、クリーンインストールメディアから!)。 ルートキットを入手した手がかりがある場合(別のプログラムにバンドルされていたのですか、それとも誰かがそれを電子メールで送信しましたか?)、感染源を再度実行したり、それを妨害したりすることさえ考えないでください!
ルートキットの有名な例
ルートキットは長年にわたってステルス使用されてきましたが、昨年のニュースの見出しに登場したときまでです。 ユーザーのマシンにルートキットをインストールすることで不正なCDコピーを保護するデジタル権利管理(DRM)テクノロジーを備えたSony-BMGのケースは、鋭い批判を引き起こしました。 訴訟と犯罪捜査がありました。 Sony-BMGはCDを店舗から引き出し、購入したコピーをクリーンなコピーに交換しなければならないと、事件の和解に応じました。 Sony-BMGは、個人データをSonyのサイトに送信するために使用されたコピー防止プログラムの存在を隠そうとして、システムファイルを密かに隠蔽したとして非難されました。 プログラムがユーザーによってアンインストールされた場合、CDドライブは動作不能になりました。 実際、この著作権保護プログラムはすべてのプライバシー権を侵害し、この種のマルウェアに典型的な違法な手法を採用し、何よりも被害者のコンピューターをさまざまな種類の攻撃に対して脆弱にしました。 Sony-BMGなどの大企業では、ほとんどの人がルートキットが何であるかを知らず、なぜルートキットを持っているのかを気にするのではないかと述べることで、最初にrog慢な道を歩むことが一般的でした。 まあ、Sonyのルートキットについて最初に鐘を鳴らしたMark Roussinovichのような人がいなかったら、このトリックは機能し、何百万台ものコンピューターが感染していたでしょう。企業の知的財産権を主張する世界的な犯罪です財産!
ソニーの場合と似ていますが、インターネットに接続する必要がなかったのは、Norton SystemWorksの場合です。 ノートンのルートキット(またはルートキットのような技術)がWindowsシステムファイルを変更してノートン保護されたごみ箱に対応する一方で、ノートンは制限する悪意があると非難されないため、両方のケースを倫理的または技術的な観点から比較することはできないSonyの場合のように、ユーザーの権利またはルートキットの恩恵を受ける。 クローキングの目的は、すべてのユーザー(ユーザー、管理者など)およびすべて(他のプログラム、Windows自体)からユーザーが削除したファイルのバックアップディレクトリを隠し、後でこのバックアップディレクトリから復元できるようにすることでした。 保護されたごみ箱の機能は、最初に削除してから正しいファイルを削除したかどうかをすばやく確認するクイックフィンガーに対するセーフティネットを追加し、ごみ箱から削除されたファイルを復元する追加の方法を提供することでした(またはごみ箱をバイパスしている場合)。
これら2つの例は、ルートキットアクティビティの最も深刻なケースではありませんが、これらの特定のケースに注目することで、ルートキット全体に公共の関心が寄せられたため、言及する価値があります。 うまくいけば、今ではより多くの人々がルートキットとは何かを知っているだけでなく、持っているかどうかを気にかけ、それらを検出して削除できるようになります!
