欣æãé·æ¥ãç¾ããåã親åæã人éæ
Microsoftマルウェア対策センターは、ルートキットに関する脅威レポートをダウンロードできます。このレポートでは、今日の組織や個人を脅かす悪意のあるタイプのマルウェアであるルートキットが検討されています。このレポートでは、攻撃者がどのようにルートキットを使用するのか、影響を受けるコンピュータでどのようにルートキットが機能するのかを調べます。
Rootkit は、攻撃者またはマルウェア作成者が、公開されていないシステムを制御するために使用する一連のツールです。通常、システム管理者用に予約されています。近年、「ROOTKIT」または「ROOTKIT FUNCTIONALITY」という用語は、健全なコンピュータに望ましくない影響を及ぼすように設計されたプログラムであるMALWAREに置き換えられています。マルウェアの主な機能は、貴重なデータやその他のリソースをユーザーのコンピュータから秘密裏に引き出し、攻撃者に提供することで、侵入先のコンピュータを完全に制御できるようにすることです。さらに、検出と削除が難しく、見過ごされても何年もの間、隠されたままになる可能性があります。
当然のことながら、感染したコンピュータの症状は、結果が致命的であることを証明する前にマスクする必要があります。特に、攻撃を明らかにするためには、より厳格なセキュリティ対策を講じなければならない。しかし、前述したように、これらのルートキット/マルウェアがインストールされると、そのステルス機能により、ダウンロードされる可能性のあるコンポーネントやコンポーネントが削除されにくくなります。
マイクロソフトマルウェア対策センターのルートキット脅威レポート
16ページのレポートには、攻撃者がルートキットを使用する方法と、影響を受けるコンピュータでこれらのルートキットがどのように機能するかが記載されています。
報告書の目的は、多くの組織、特にコンピュータユーザーを脅かす強力なマルウェアを特定し、詳細に調べることです。また、流行しているマルウェアファミリーの一部について言及し、攻撃者が健全なシステム上で自分の利己的な目的のためにこれらのルートキットをインストールする方法を明示します。
ルーツキットの種類
マルウェアがオペレーティングシステムにインストールされる場所はたくさんありますが、そのうちのいくつかはユーザーがルートキットから脅威を緩和するのに役立ついくつかの推奨事項を示しています。したがって、ほとんどのタイプのルートキットは、実行パスのサブバージョンを実行する場所によって決定されます。
- ユーザーモードルートキット
- カーネルモードルートキット
- MBRルートキット/ブートキット
カーネルモードルートキットの妥協の効果は、以下のスクリーンショットで示されています。
マスターブートレコードを変更してシステムの制御を取得し、ブートシーケンスの最初の可能なポイントをロードするプロセスを開始します3。
Rootkitの機能を使用するマルウェアファミリ
Win32 / Sinowal 13 - マルチコンポーネントファミリは、ファイル、レジストリの変更、ネットワーク接続の証拠、およびその存在を示す可能性のあるインジケータを隠します。さまざまなシステムのユーザー名やパスワードなどの機密データを盗み出すマルウェアです。
Win32 / Cutwail 15 - ダウンロードして任意に実行するトロイの木馬。これは、さまざまなFTP、HTTP、および電子メールアカウントの認証の詳細を盗み出すことを含みます。ファイル。ダウンロードしたファイルは、ディスクから実行することも、他のプロセスに直接注入することもできます。ダウンロードされたファイルの機能はさまざまですが、通常、Cutwailはスパムを送信する他のコンポーネントをダウンロードします。
カーネルモードのルートキットを使用し、影響を受けるユーザーからコンポーネントを隠すためにいくつかのデバイスドライバをインストールします。Win32 / Rustock
- rootkitが有効なバックドア型トロイの木馬のマルチコンポーネントファミリーで、最初にボットネット を介して "spam"電子メールの配布を支援するために開発されました。 ルートキットに対する保護
ルートキットによる感染を防ぐ最も効果的な方法は、ルートキットのインストールを防止することです。このためには、アンチウイルスやファイアウォール製品などの保護技術に投資する必要があります。このような製品は、従来のシグネチャベースの検出、ヒューリスティック検出、動的で応答性の高いシグネチャ機能、および動作監視を使用して、包括的な保護アプローチをとるべきです。これらのシグネチャセットは、すべて自動更新メカニズムを使用して最新の状態に保たれるべきです。 Microsoftのウイルス対策ソリューションには、影響を受けるシステムのカーネルを変更しようとする試みを検出して報告するライブカーネル動作の監視や、隠しドライバの特定と削除を容易にする直接ファイルシステム解析など、ルートキットを軽減するために特別に設計された数多くのテクノロジが含まれています。システムが侵害されていると判明した場合は、既知の良好な環境または信頼できる環境で起動するための追加ツールを使用すると、適切な対策を提案することができます。
このような場合、
Standalone System SweeperツールMicrosoft Diagnostics and Recovery Toolset(DaRT)
Windows Defender Offlineの一部が役に立つ場合があります。
詳細については、Microsoft Download CenterからPDFレポートをダウンロードしてください。