2005年10月20日 - Rootkit(ルートキット)とWindows
ルートキット(Rootkit)の解説
ルートキット(Rootkit)は一般には、サーバーなどへ侵入したクラッカーが利用する高機能なハッキングツールの詰め合わせのようなものである。クラッカーは乗っ取ったシステム上でバックドアの作成やログ消しやパスワードクラックなどを行うが、このような悪意のある操作のために必要なツールを一まとめにしたものをRootkitと呼ぶ。
(もしくは多様な機能がある単独のツールをそのように呼ぶ)
ルートキットと言えば、LinuxなどのOSを対象に使われる、ハッカーかクラッカーがどこかの企業のサーバーに侵入して設置するような不正なソフトウェア・ハッキングツールを指す例が多かったのだが。
しかし日本国内でのRootkitの感染数は、少なくともWindowsに限れば、一般的なエンドユーザーが大部分である。これらはブラウザハイジャッカーやスパイウェアとほぼ同時に(または感染の結果として後日)インストールされるのだ。
Windowsを対象とした一般的なルートキットは、簡単に説明してしまえば高機能トロイである。
本体そのものや設定ファイルだけではなく、指定した任意のファイル・フォルダを隠蔽するよう設定する事もできる。
これに感染しているのか否かを検出するのは、極めて困難な場合が多い。検出ツールを用いずに探すとしたらば、「隠蔽されているマルウェア・ウイルス・スパイウェアを発見する(Semplice)」のような手法を用いなければならないだろう。
そもそもルートキットのようなマルウェア(Malware)は、感染後にはアンチウイルスソフトでは(検出はできたとしても)駆除はできない。一旦感染してしまえば、もう終わりなのだ。
自分はウイルス対策ソフトは予防のためのものとして考えており、事後にどれだけの効果を発揮できるのかとの点には疑問を感じている(「アンチウイルスソフトに期待されている役割(Semplice)」)。
また起動中のプロセスはタスクマネージャーからは確認できず、オープンになっているポートはnetstatで表示されず、レジストリへの登録項目はレジストリエディタよりは非表示になり確認できない例もある。
ウイルス・スパイウェア・アドウェアなどは、このRootkitに比べれば、おとなしい部類になってしまう。
アンチウイルスソフトによる修復作業は、基本的に期待できないと考えるべきである。また現実の問題として、このようなマルウェアに感染したらば、下手に修復を試みるよりは、さっさとリカバリーしてしまうよう推奨する。
(可能であるならば、後日何らかの問題が生じた場合に備え、証拠物品として保全するべきであると思われる。)
どのような被害が生じているのか、その被害の範疇が無限大であり、予想もつかないのだよ。この場合は最悪の事態を想定し、慎重に対処するよう心がけた方が良いだろう。
塩月誠人氏のサイトのアンチ・フォレンジック(sa2005_shio.pdf)という文書が紹介されていたブログがあったのだが。
大変詳しい内容なので、一読するよう推奨する。具体的な機能やその働きが丁寧に解説されており、素晴らしいテキストであった。
このRootkitはアプリケーションルートキット(Application Rootkit)とカーネルルートキット(Kernel Rootkit)に大別される。
mashさんより紹介された記事なのだが、この辺を見れば大体の様相は掴めるだろう。
rootkitによるハッキングとその防御(ITmedia)
前者ならばファイルをざっと調べれば改竄されたものが見つかるだろうし、不審なプロセスを発見するのも容易なのやもしれない。
Kernel Rootkitは前述の塩月誠人氏のPDF資料にも詳細が記載されているんだけど、これに感染したらばExplorerからは本体なり設定ファイルが閲覧できず、タスクマネージャーより確認できず、アンチウイルスソフトのスキャンでも発見できなかったりするのだ。これはWindowsnのAPIを乗っ取り、その姿を隠蔽し消えてしまうのだ。代表的なものとしては、HackerDefenderなどがあげられる。
mashさんよりTripwire、及び改ざん検知システム(FIDS) for windowsなるソフトを紹介していただいたんだけど、このような改竄検知ソフトは大変有効な対応策ですね。
ただサーバーなどにインストールし管理するのはともかく、個人でこれを日頃より利用するには向かないような気が。
まぁそうは言っても、何かに感染させ挙動を観察する分には相応に役立ちそうです。
WindowsのRootkit(ルートキット)感染
やや古い記事なのだが、Rootkitについてなかなかわかりやすい内容なので紹介。
Microsoftセキュリティソリューション部門のマイク・ダンセグリオ氏とカート・ディラード氏によると、リモートシステム監視ソフトは何年も前から出回っており、Hacker Defender」「FU」「Vanquish」といった名称のプログラムがその最新世代だという。
特に、比較的新しいrootkitsは、カーネルに渡されるクエリー(システムコール)を傍受し、rootkitsソフトが生成したクエリーを取り除く。その結果、実行可能ファイル名(コンピュータのメモリの一部を使用する名前付きプロセス)やOSのレジストリのコンフィグレーション設定など、プログラムが実行されていることを示す通常のサインが管理者や検出ツールから見えなくなると同氏は説明した。
両氏によると、このソフトは、ウイルス対策ソフト、ホスト・ネットワーク侵入検知センサー(IDS)、スパイウェア対策製品など多くの検出ツールから見えない。
MS研究者、「カーネルrootkits」の脅威を警告(ITmedia)
この記事中にてWindows PEを使ってRootkitの存在を探す方法が提案されているが、これは効果的やもしれない。Windows OSが起動している最中には、その起動中のOSからの操作ではRootkitは存在を隠蔽しており、発見できないのだ。
Rootkitの検出と対策
正直な印象をいきなりぶっちゃけるんですが。
「無理?」
一例としてMicrosoft Windows 悪意のあるソフトウェアの削除ツールでは、HackerDefenderに対応しているのだが(Windows Server 2003、Windows XP、または Windows 2000 を実行するコンピュータから、流行している特定の悪質なソフトウェアを削除する Microsoft Windows 悪意のあるソフトウェアの削除ツール)
自身及びその活動を隠蔽する目的で進化したRootkitに、これだけで十分対応できるのかと問われれば、それは難しいような。大体HackerDefenderのみがKernel Rootkitではないし。感染した後になってから足掻いても、ねぇ。
Kernel Rootkitの最も確実な検出方法は、ハードディスクを外し他のパソコンに接続してのスキャンなり検証、またはCDやDVDよりブートした上での検証作業のみが有効である。
感染後であれば、セーフモードで起動したとしても、ネットワーク経由でアンチウイルスソフトなりでスキャン・もしくは個別のファイルを検証したとしても、その実体には迫れないだろう。
なおWindows XPのシステムの復元機能により、ルートキット感染パソコンを元の状態に戻せる場合もあるのだが。自分としてはこのようなマルウェアに感染したらば即リカバリーするよう推奨する。被害の及ぶ範囲が想定できず、また気付くまでの間にどのような不正行為が行われていたのか判断できないためだ。
WindowsのRootkit被害の現状
Rootkitはクラッカーがどこかのサーバーをハッキングしてインストールするばかりではない。少なくともWindowsへの感染者数ベースでは、悪意を持った者が設置したサイトよりInternet Explorer経由で感染する例が多いような気がする。
感染させたマルウェア(Malware)を駆除させないようにするためにRootkitを利用し、レジストリエントリやファイルを隠蔽する例も多い。
このようなケースでのRootkit感染は、エンドユーザーを対象とした攻撃であるため、その原因の追究は個人ユーザーレベルでは難しいだろう。
なおシステムの復元機能によりRootkit感染前のシステムの状態へ復旧させることができる場合もあるやもしれないが、このようなマルウェアに感染した場合は、リカバリーなりOSの新規インストールをした方が良いのではなかろうか。
いずれにしてもアンチウイルスソフトはエンドユーザーには必須なソフトであろう。これによる復旧が(十分には)望めなかったとしても、そのようなセキュリティ対策ソフトを導入して適切に設定していれば、感染直前に予防できる機会が与えられるのだ。
MacOSのRootkit
ウイルスにまず感染せず安全と思われているMacであっても、動作できるRootkitもある。
なお身の回りのMacユーザーはアンチウイルスソフトなどは導入しておらず、そのような危機意識がやや薄いように思われる。今後はこのようなマルウェアに対してより一層注意を払う必要がありそうだ。
OpenerはMac OS Xの内蔵ファイアウォール機能を無効にし、マルウェアの作者がコンピュータをリモートから制御できるよう裏口を設け、ハードディスクに保存されているパスワードを全て見つけ出し、JohnTheRipperというパスワードを破るソフトウェアをダウンロードするとDucklinは説明している。
Macにはめずらしいシェルベースのマルウェア見つかる(CNET Japan)
関連記事
隠蔽されているマルウェア・ウイルス・スパイウェアを発見する
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-18 WindowsのRootkit(ルートキット)は最悪なマルウェア(http://d.hatena.ne.jp/LucaLuca/20050318)を修正・加筆し移転したものです。
この記事へのコメント
移転完了、お疲れ様でした。
大変な作業であることは、十分推察できます。
記事全体について言えば、私にはかなりハードルが高いのですが、過去の記事も含めて参考にさせていただきたいと思っております。
また、私のコメントなんぞを引用していただいて、何と申し上げてよいやら。
今後も、JWordとの戦い、お互いに頑張りましょう。
大変な作業であることは、十分推察できます。
記事全体について言えば、私にはかなりハードルが高いのですが、過去の記事も含めて参考にさせていただきたいと思っております。
また、私のコメントなんぞを引用していただいて、何と申し上げてよいやら。
今後も、JWordとの戦い、お互いに頑張りましょう。
Posted by ベルモンツ
at 2005年10月30日 15:27
Rootkitといえば、本日のITMediaの記事でまた出たのがありました。
SONYのCDに、コピー防止の意味から「Rootkitに類似した技術」が用いられたとのこと。
http://www.itmedia.co.jp/news/articles/0511/02/news022.html
しばらく前にもシェアウェアソフトの「Vocal Cancel」に製作者がトロイを混入という騒ぎもありましたが、もっと他の方向に対策とれないのかと善良なる一般ユーザーでも抗議したくなります。
「最新のウイルス対策ソフトを使っても探知できない可能性がある」
とも書いていますが、探知できるとしてもSONY(もしくは音楽業界あげて)の抗議で定義から外されるのでは?
つくづく何考えてるんでしょーか。
SONYのCDに、コピー防止の意味から「Rootkitに類似した技術」が用いられたとのこと。
http://www.itmedia.co.jp/news/articles/0511/02/news022.html
しばらく前にもシェアウェアソフトの「Vocal Cancel」に製作者がトロイを混入という騒ぎもありましたが、もっと他の方向に対策とれないのかと善良なる一般ユーザーでも抗議したくなります。
「最新のウイルス対策ソフトを使っても探知できない可能性がある」
とも書いていますが、探知できるとしてもSONY(もしくは音楽業界あげて)の抗議で定義から外されるのでは?
つくづく何考えてるんでしょーか。
Posted by lesson
at 2005年11月02日 17:46
>ベルモンツさん
転載後にこちらより改めて連絡するべきでありましたが、ゴタゴタで結局怠けてしまいました、申し訳ありません。
9割5分ほど見直し作業が終了いたしましたので、昨日やっと本格的に新たにblogを書き始めました。
自分の過去の文章を読み返し至らない部分を探す作業は、頭の切り替えが必要なようで大変難しいようです。
>lessonさん
先ほど「The "Sony rootkit" case(http://www.f-secure.com/weblog/#00000691)」を閲覧致しました。
このような技術を音楽関連の業界団体が支援し、結果として利用するベンダが拡大するとも考えづらく。
また対策ソフトメーカー側がこのような技術に配慮?し折れる可能性は低いのではないでしょうか。
転載後にこちらより改めて連絡するべきでありましたが、ゴタゴタで結局怠けてしまいました、申し訳ありません。
9割5分ほど見直し作業が終了いたしましたので、昨日やっと本格的に新たにblogを書き始めました。
自分の過去の文章を読み返し至らない部分を探す作業は、頭の切り替えが必要なようで大変難しいようです。
>lessonさん
先ほど「The "Sony rootkit" case(http://www.f-secure.com/weblog/#00000691)」を閲覧致しました。
このような技術を音楽関連の業界団体が支援し、結果として利用するベンダが拡大するとも考えづらく。
また対策ソフトメーカー側がこのような技術に配慮?し折れる可能性は低いのではないでしょうか。
Posted by Luca
at 2005年11月02日 21:46
SONYのCDの件で、やはり各方面からの影響を気にしたか、SONY BMGが問題のコンポーネントを削除するサービスパックを公開した、とのニュースが出ました。
意外とあっさりSONYが引いたように見えますが、今後またどの会社が似たようなことを考えないか保証はありませんね。
意外とあっさりSONYが引いたように見えますが、今後またどの会社が似たようなことを考えないか保証はありませんね。
Posted by lesson
at 2005年11月03日 09:59
以前このコピー防止機能付き CD-ROMをテストした方の話を読んだ記憶があるんですが、詳しい仕組みがわからなかったんですね、確か。
今にして思えば、通常の感染テスト?にては、これらは確認できなかったんですかね。
スラドを眺めましたが。
日米ではどうも盛り上がりの程度の違いとか、一次情報の有無とかが気になり。
Sony DRM Installs a Rootkit?(http://it.slashdot.org/article.pl?sid=05/10/31/2016223)
Sony BMGの米国内向けCCCDにルートキット(http://slashdot.jp/security/article.pl?sid=05/11/03/0859246)
結局は自分でテストするのが最も確実そうに思われまして。
興味深い事例なので、このCDをAmazonに注文したものの、まだ届いておらず。
今にして思えば、通常の感染テスト?にては、これらは確認できなかったんですかね。
スラドを眺めましたが。
日米ではどうも盛り上がりの程度の違いとか、一次情報の有無とかが気になり。
Sony DRM Installs a Rootkit?(http://it.slashdot.org/article.pl?sid=05/10/31/2016223)
Sony BMGの米国内向けCCCDにルートキット(http://slashdot.jp/security/article.pl?sid=05/11/03/0859246)
結局は自分でテストするのが最も確実そうに思われまして。
興味深い事例なので、このCDをAmazonに注文したものの、まだ届いておらず。
Posted by Luca
at 2005年11月04日 19:39
SONY BMGのCDに関して次々と削除ツールが公開されながら、それによる不具合もまたすぐに発見されるというロクでもない状況が続いています。
Lucaさんも忙しい中、どこから調べていいか手をつけかねているのでは?
先日公開されたばかりのMediaMax社のパッチも使わないようにと警告が出ましたが、技術的なこと以上に私が気になったのはSONY BMGはSONY(本社)にとっては提携先と共同で作った別会社としているのでユーザーから出た賠償請求にも責任を負う意思は見られず、いずれこの会社がコケた場合、完全なデータが公開されないと有効な処理法もすぐには出されない可能性がありそうな点です。
該当CDを持っている方は、今すぐ使わないまでも各修正パッチをダウンロード、バックアップだけはしておいたほうがいいかもしれません。
会社がなくなるといつまで配布されるかわかりませんし。
Lucaさんも忙しい中、どこから調べていいか手をつけかねているのでは?
先日公開されたばかりのMediaMax社のパッチも使わないようにと警告が出ましたが、技術的なこと以上に私が気になったのはSONY BMGはSONY(本社)にとっては提携先と共同で作った別会社としているのでユーザーから出た賠償請求にも責任を負う意思は見られず、いずれこの会社がコケた場合、完全なデータが公開されないと有効な処理法もすぐには出されない可能性がありそうな点です。
該当CDを持っている方は、今すぐ使わないまでも各修正パッチをダウンロード、バックアップだけはしておいたほうがいいかもしれません。
会社がなくなるといつまで配布されるかわかりませんし。
Posted by lesson
at 2005年12月09日 15:04
lessonさんの「取りまとめの中で何かを掴む力」は、こちらに毎回良いヒントを与えてくれます。
いえ、こちらが悩んでいる背景は大変説明しづらいんですが。
「ウイルス対策掲示板(http://antivirus.ddo.jp/abc/cbbs/cbbs.cgi?mode=all&namber=686&type=0&space=0&no=0)」
「Sony BMGのrootkitを削除するツールを配布するMicrosoftは著作権法違反?:武田圭史(http://motivate.jp/archives/2005/11/sony_bmgrootkit.html)」
こちらはこのような理解で考えております。
> rootkitはXCPに含まれる機能で、XCPの解除を困難にさせるもので。
> そしてXCPはDigital Rights Management(DRM)ソフトウェアで
> CCCDの機能を実現するためのもの。
いえ、こちらが悩んでいる背景は大変説明しづらいんですが。
「ウイルス対策掲示板(http://antivirus.ddo.jp/abc/cbbs/cbbs.cgi?mode=all&namber=686&type=0&space=0&no=0)」
「Sony BMGのrootkitを削除するツールを配布するMicrosoftは著作権法違反?:武田圭史(http://motivate.jp/archives/2005/11/sony_bmgrootkit.html)」
こちらはこのような理解で考えております。
> rootkitはXCPに含まれる機能で、XCPの解除を困難にさせるもので。
> そしてXCPはDigital Rights Management(DRM)ソフトウェアで
> CCCDの機能を実現するためのもの。
Posted by Luca
at 2005年12月09日 22:31
極めて限定的なケースを想定した議論ではありますが。
このSony Rootkitが、Sempliceの「Bogus Spyware Removal Tools and Likely」に含まれる事例と一線を画すのはですね。
XCP機能を解除する方法を公開するのは(つまりRootkii入りCD-ROM利用前の状態に戻すのは)、デジタルミレニアム法の処罰対象になり得る可能性を孕むからで。
つまりは仕様許諾説明書の至らなさはともかく、Sony Rootkitは現在の米国内での法律により「保護」されているんですね。
(自分の解釈が誤っている可能性もありますが、それらは米国内の今後の訴訟の行方を見守りましょう)
アンチウイルスソフトメーカーの対応が不十分な理由は、そのような背景があるように思われ。
このSony Rootkitが、Sempliceの「Bogus Spyware Removal Tools and Likely」に含まれる事例と一線を画すのはですね。
XCP機能を解除する方法を公開するのは(つまりRootkii入りCD-ROM利用前の状態に戻すのは)、デジタルミレニアム法の処罰対象になり得る可能性を孕むからで。
つまりは仕様許諾説明書の至らなさはともかく、Sony Rootkitは現在の米国内での法律により「保護」されているんですね。
(自分の解釈が誤っている可能性もありますが、それらは米国内の今後の訴訟の行方を見守りましょう)
アンチウイルスソフトメーカーの対応が不十分な理由は、そのような背景があるように思われ。
Posted by Luca
at 2005年12月09日 22:32
http://hotwired.goo.ne.jp/news/culture/story/20051118204.html
http://japan.cnet.com/news/sec/story/0,2000050480,20092536,00.htm
http://internet.watch.impress.co.jp/cda/news/2005/12/08/10158.html
とは言っても。
上記の記事を眺めれば、この問題がどれだけの余波を生んでいるのかを感じ取れます。
これらの問題には、当事者(加害者とも言う)のSonyの積極的な対応が求められるんですがね。
(一般的なエンドユーザーがこれに対処するんは、無理があるような)
Sonyには、「完全に元の状態に戻すパッチ」を提供する勇気を求めます。
字数制限のため、長くなったのを3分割し。
大変見づらくなってしまいましたが。
http://japan.cnet.com/news/sec/story/0,2000050480,20092536,00.htm
http://internet.watch.impress.co.jp/cda/news/2005/12/08/10158.html
とは言っても。
上記の記事を眺めれば、この問題がどれだけの余波を生んでいるのかを感じ取れます。
これらの問題には、当事者(加害者とも言う)のSonyの積極的な対応が求められるんですがね。
(一般的なエンドユーザーがこれに対処するんは、無理があるような)
Sonyには、「完全に元の状態に戻すパッチ」を提供する勇気を求めます。
字数制限のため、長くなったのを3分割し。
大変見づらくなってしまいましたが。
Posted by Luca
at 2005年12月09日 22:33
