セキュリティベンダーのマカフィーの統計によると、過去2年間の減少傾向に続き、今年の第1四半期には新たなルートキットのサンプル数が2011年以来の水準まで増加した。
今年最初の3ヶ月間に急増したルートキット感染は、主に32ビットWindowsシステムを標的とした単一のルートキットファミリーによって引き起こされました。しかし、64ビットシステム向けに設計された新しいルートキットが、今後この種の攻撃の増加につながる可能性が高いと、マカフィーの研究者は火曜日に発表したレポートで述べています。
ルートキットは、他の悪意のあるアプリケーションや活動をユーザーから隠蔽するために設計されたマルウェアプログラムです。通常、OSカーネル内で可能な限り最高のシステム権限で実行されるため、セキュリティ製品による削除や検出が困難です。
マカフィーの研究者は、2012 年と 2013 年に観測された新しいルートキット サンプルの数が減少したのは、PatchGuard カーネル パッチ保護やドライバーのデジタル署名強制など、そのような脅威に対する防御機能を備えた 64 ビット版 Windows の採用が増えたことによるものだと考えています。
「こうした保護により、64ビットプラットフォーム上でルートキットを構築し展開するコストは確実に増加した」とマカフィーの研究者らは述べている。
しかし、64 ビット システムの数が増えるにつれて、攻撃者がそれらの防御を回避する方法に投資する動機も増えます。
「64ビットシステムによって設置された障害は、カーネルレベルで侵入する方法をすでに見つけている組織化された攻撃者にとっては、単なる障害物に過ぎないようだ」とマカフィーの研究者らは述べた。
最近実際に確認された 1 つの手法では、まず正規のハードウェアまたはソフトウェア開発者からデジタル署名されたドライバーをインストールし、次にそのドライバーの既知の脆弱性を悪用してカーネルへのアクセスを取得します。
2月に発見され、サイバースパイ攻撃に使用された高度なルートキットであるUroburosは、デジタル署名されたVirtualBoxカーネルドライバーの古いバージョンをインストールし、2008年にそのドライバーバージョンで発見された権限昇格の脆弱性を悪用します。VirtualBoxは、2010年にサン・マイクロシステムズを買収して以来、オラクルが所有および開発している仮想化ソフトウェア製品です。
より一般的に使用されるもう 1 つの手法は、正当な企業からデジタル署名証明書を盗み、それを使用して悪意のあるコードに署名することです。
「2012年1月以降、少なくとも21の64ビットルートキットサンプルが盗難証明書を使用しています」とマカフィーの研究者は報告書で述べています。「マルウェアW64/Winntiは、2012年以降、正規ベンダーの少なくとも5つの秘密鍵を盗み、64ビットシステムにルートキットをインストールしていました。この5つのうち、少なくとも2つは失効しておらず、正当な目的と悪意のある目的の両方で現在も使用されている可能性があります。」
マカフィーの統計によると、デジタル署名付きマルウェアプログラムの数は2012年初頭から全体的に増加傾向にあります。現在、デジタル署名付きマルウェアの既知のサンプルは2,500万件以上存在し、そのうち250万件以上が今年の第1四半期に発見されました。
64 ビット システムのルートキット防御を回避するもう 1 つの方法は、Windows カーネル自体に発見された権限昇格の脆弱性を悪用することであり、McAfee レポートのデータによると、このような欠陥の数はここ数年で増加傾向にあります。
「研究者たちは、カーネルコードの欠陥を見つけるために、『ダブルフェッチ』競合状態などの標的型ツールを開発しています」とマカフィーの研究者は述べています。「歴史が示すように、研究コミュニティでこのような取り組みが始まれば、脅威の状況にもすぐに影響が現れるでしょう。」
64ビットシステムに対する新たなルートキット攻撃の波は、マイクロソフトとサードパーティのカーネルコンポーネントの両方における脆弱性の増加を悪用することになると彼らは述べた。
特に悪質なルートキットの一種であるブートキットは、システムのマスターブートレコード(通常はOSのブートローダーが格納されているハードドライブの最初の512バイトセクター)に悪意のあるコードをインストールします。MBRコードはOSカーネルが初期化される前に実行されるため、そこに保存された悪意のあるコードは、OSにインストールされているセキュリティアプリケーションよりも先にマルウェアの侵入を許してしまう可能性があります。
マカフィーは、今年第1四半期に、既知のMBRペイロードを持つ新たなマルウェア亜種を過去2年間のどの四半期よりも多く、約90万種特定しました。同社のデータによると、これにより、MBRに感染する既知のマルウェアサンプル数は600万件を超えています。
最近のコンピュータでBIOSに代わる機能であるUnified Extensible Firmware Interface(UEFI)のセキュアブート機能は、ブートキットのインストールを防ぐために特別に設計されています。この機能は、MBR内のブートコードが事前に承認されたホワイトリストに登録され、デジタル署名されていることを確認した上で実行することで機能します。
しかし、過去 1 年間にわたって、セキュリティ研究者は、多くのコンピューター メーカーが使用する UEFI 実装に、OS 内部から悪用されてセキュア ブートを無効にできる脆弱性をいくつか発見しました。
Mitreのセキュリティ研究者であるコーリー・カレンバーグ氏は5月、セキュアブートが有効になっているコンピュータの約半数でセキュアブートをバイパスできると推定しました。同氏は5月にアムステルダムで開催されたセキュリティカンファレンス「Hack in the Box」で、このセキュリティメカニズムを破るために使用できるいくつかの手法を発表しました。
