進化する、トロイの木馬型ルートキット「StealthMBR」

トロイの木馬型ルートキット「StealthMBR」(別名「Mebroot」)には、様々な亜種が複数存在しており、実際にインターネット上に出回っています。これらの亜種は、オリジナルのStealthMBRから大きく進化しているのが特徴です。今回は、ルートキットStealthMBRが進化した亜種について紹介しましょう。

StealthMBRは、ルートキットの中で最もステルス性が高く検出しにくいと言われています。これらの亜種は、「より深く侵入する」手口を使用することで、検出から逃れようとしています。簡単に説明すると、カーネルオブジェクト(デバイスオブジェクト)を乗っ取り、マスターブートレコード(MBR)に対するアクセスを探し出し、検出と駆除を邪魔します。これまでのStealthMBRは、「\driver\disk」のI/O要求パケット(IRP)テーブルに低レベルフックを設けていましたが、亜種はより低い階層にあるドライバのIRPテーブルをフックできるように変化しています。こうしたフックは常に存在するわけでなく、何らかの動作に連動してオンデマンドで一時的に有効化されます。乗っ取られたディスクデバイスオブジェクトは、この仕組みを実現するためだけに利用されています。

またこれらの亜種は、検出するだけではなく、駆除することも非常に難しいのが特徴です。PCに再感染するための監視機構を組み込むことで、駆除の意味を無くしています。感染したMBRのダンプを以下に示します。外部メディアを外した状態で調べると、感染したMBRが現れます。

感染したMBR

乗っ取られたディスクデバイス用カーネルオブジェクトは以下の通りです。

乗っ取られたオブジェクト

一度PCへの侵入に成功すれば、感染状態の維持にファイルやレジストリエントリを使用する必要はありません。ただ、侵入には実行可能型ファイルのドロッパーを使用する必要があります。ドロッパーも従来のStealthMBRと異なっています。この新たなドロッパーは、マルウェア「StealthMBR.a」としてマカフィー製品では検出されます。ドロッパーとファイルが検出可能なため、問題の原因を特定すると同時に、ユーザーを感染から守ることが可能です。さらに、感染後に脅威を検出/駆除する方法についても、既に提供を行っています。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速