偽ウイルス対策ソフトや、トロイの木馬と関わりを持つルートキット

マルウェアには様々な亜種が存在しているのが一般的ですが、DNSサーバーの設定を変えるマルウェア「DNSChanger.ad」も同様です。この亜種は、大抵FakeAlert(偽ウイルス対策ソフト)や、DNSChangerといった種類のトロイの木馬と関わりを持つルートキットをダウンロードします。ダウンロードされたシステムファイルは、時間の経過に応じて名前が「tdss*.sys」から「seneka*.sys」「skynet*.sys」といったように変化していきます。このルートキットにメモリー検査・クリーニングを実施したところ、「Generic Rootkit.d」であることが判明しました。このマルウェアが使用する手口は既に判明しています。基本的には「IofCallDriver」、「IofCompleteRequest」、「NtFlushInstructionCache」、「NtEnumerateKey」などにインラインフックを設けます。更に、自身のレジストリ項目から各種権限を消去します。

今回のマルウェアは、「system32\drivers」フォルダ内に「skynet*.sys」といった名前のシステムファイルを隠します。マルウェアによって設けられたインラインフックは、ルートキット分析ツールの他、デバッガ「WinDbg」でも修復可能であり、インラインフックを修復すれば攻撃用ファイルが見えるようになります。その一方で、このマルウェアは削除されたファイルを元に戻す機能を備えています。マルウェアが「監視」や構成コンポーネントの復旧を試みることはよくあります。ただ興味深いのは、ファイル監視機構「File Monitor」(filemon)でこのような活動を捉えらることができないのと同時に、他のAPI追跡手段でもファイル復旧と思われる動きを見つけられないことです。

詳しく調べたところ、「KeDelayExecutionThread」で作成したループの中で遅延システムワーカースレッドを使用し、一定の間隔で「ZwCreateFile」を呼び出していました。この処理に関連するコードとスレッドを以下に示します。

ファイル生成処理ループ

この処理から、削除したファイルが復活する仕組みが分かります。このスレッドはマルウェアのレジストリを監視しており、以下のコードを使用してシステム用サービスのアドレス格納テーブル「System Service Descriptor Table」(SSDT)を絶えず改変しています。この影響により、SSDTにフックを設けて各種活動を調べる監視ユーティリティが機能しなくなります。

SSDTの書き換え

SSDTを書き換えられただけであれば、filemonはこのファイルに関する活動を報告できるはずです。ところがこのマルウェアは、ファイルシステムフィルタドライバを全て削除してしまいます。filemonもファイルシステムフィルタを使用しているため、このドライバ削除によって報告できなくなっていました。感染前後のデバイススタックの内容を以下に示します。感染後に全てのフィルタが駆除されています。

感染前後のデバイススタックの内容

また以下は、割り当てられていたフィルタを削除するコードです。

フィルタ削除コード

なお、割り当てられているこのNTFS用デバイスフィールドだけがnullで、これ以外のスタックは改変されず残っています。

このように、filemon用フィルタドライバだけではなく、Filter Managerも削除されていた事が分かります。全てのフィルタを削除しSSDTを書き換えることで、これらに頼る分析ツールの邪魔を行います。ただその一方で、他のソフトウェアの動きを阻むこともあり得ます。ほぼ全ての環境でルートキットの動きを隠すことができるのであれば、他のソフトウェアが動かなくてもマルウェアとしては問題ないのです。このようなトレードオフは、多くのマルウェアに見られます。今回のマルウェアもその一例と言えるでしょう。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速