ルートキット

情報セキュリティ
サイバーセキュリティ
対象別カテゴリ
隣接領域
脅威
防御

ルートキットrootkitあるいはroot kit)は、コンピュータシステムへのアクセスを確保した後に、第三者(通常は侵入者)によって使用されるソフトウェアツールのセットである。これらのツールには、作動中のプロセスやファイル、システムデータを隠蔽する機能があり、ユーザに気付かれないように侵入者がシステムへのアクセスを維持することを支援する。

ルートキットは、2005年のSony BMG CD XCP問題で争点となり、この事件を契機に、技術コミュニティのみならず一般大衆にもルートキットの概念が広く知られるようになった。

起源

ルートキットという言葉は元々、侵入者がシステムアドミニストレータにシステムを確認されても"root"権限を保持し続けるために、通常なら表示される侵入の痕跡を隠すようにリコンパイルされたUnixのソフトウェア群、例えば"ps"、"netstat"、"w"、"passwd"といったツールを指していた。

現在では、この言葉はUnix系OSに限らず、Microsoft Windowsなどの非Unix系OS("root"というアカウントは存在しないが)で、同様のタスクを実行するツールにも広く用いられている。

機能

典型的なルートキットは、ログオンプロセス、ファイル、ログを隠蔽する。また、端末やネットワーク、キーボードからのデータ入力を傍受することもある。多くの場合、ルートキットはトロイの木馬でもある。

使用方法

ルートキットは、しばしば侵入したシステムを悪用するためのユーティリティを隠す目的で使用され、システムへの再侵入を容易にする「バックドア」と呼ばれるユーティリティが含まれることがある。例えば、ルートキットは特定のネットワークポートに接続した際にシェルを起動するアプリケーションを隠蔽することがある。また、カーネルルートキットも同様の機能を持つ場合があり、バックドアが非特権ユーザによって起動されたプロセスを、通常は特権ユーザにしか許されない権限で動作させることを可能にすることがある。さらに、システムを侵害するための他のあらゆる種類のツールもルートキットによって隠蔽される可能性があり、これには侵入したコンピュータから他のシステムへのさらなる攻撃を支援するスニファキーロガーなどのツールが含まれる。

侵入されたコンピュータの一般的な悪用方法として、さらなる攻撃の踏み台として利用されることがある。これは、攻撃が攻撃者からではなく、侵入を受けたシステムやネットワークから発せられているかのように見せかけるために行われる。このようなツールには、DoS攻撃ツールや、チャットセッションの中継、電子メールでのスパム攻撃を行うツールがある。

商用CDでデジタル著作権管理(DRM)の一環としてルートキットが用いられた例として、Sony BMG CD XCP問題が挙げられる。

タイプ

基本的なタイプ

ルートキットは大別して二種類がある。カーネルレベルのものとアプリケーションレベルのものである。カーネルレベルのルートキットはカーネルコードに追加コードを加えるか、もしくは一部のカーネルコードを改造されたコードで置換するかもしくはその両方を行なうことによってコンピュータシステムに設置されたバックドアを隠蔽するのを助ける。これはしばしばデバイスドライバもしくはローダブルモジュール、例えばLinuxならLinux Loadable Kernel Module、Windowsならデバイスドライバという形でカーネルに新しいコードを追加することによって行なわれる。カーネルルートキットはよくシステムコールにパッチをあてたりフックしたり置換したりして攻撃者の情報を隠蔽する。アプリケーションレベルルートキットは普通のアプリケーションをトロイが仕込まれた偽物に置換したり、既存のアプリケーションの振舞いをフックやパッチや挿入コードやその他の手段で改造したりする。カーネルルートキットは検出困難なので特に危険である(特にメモリ管理コアのページテーブルを操作して隠蔽するもの)。

検出

あらゆるルートキット検出プログラムには、それが疑わしいシステム上で動作する限り、それにつきものの制約がある。それは、ルートキットはシステム上の全てのプログラムが頼っているライブラリやツールの多くを修正してしまうプログラムだということである。あるルートキットは動いているカーネルを(Linuxや多くのUNIXライクなOSではローダブルモジュールを、MS Windowsなどではおそらくは仮想デバイスドライバなどを通じて)修正する。ルートキット検出の根本的問題は今動いているオペレーティングシステムが信用できないということにある。言い替えれば、全ての作動中のプロセスの表示やディレクトリの中の全てのファイルのリストの表示の要求といった行為の結果が、元々の設計者が意図したような振舞いであると信用できないということである。

もっとも信頼できる最良のルートキット検出の手段は、感染の疑いのあるコンピュータをシャットダウンして、他のメディアから(例えばレスキューCD-ROMやUSBから)起動してストレージを検査することである。動いていないルートキットはその存在を隠すことができず、ほとんどの確立したアンチウイルスプログラムは(おそらくルートキットによって修正されているはずの)標準的なOSコールと低レベルのクエリーに頼るルートキットを検出可能である。なぜならそれらは信頼性を保っているはずだからである。もし何か違いがあればルートキット感染が想定される。ルートキットは検査が終了するまで動いているプロセスを監視して自らの隠蔽行動を停止することで、ルートキットスキャナーに引っかからない、ステルス機能のないマルウェアを装うことで自らを守ろうとすることもある。

セキュリティベンダはルートキット検出を既存のアンチウイルス製品に統合するソリューションを構想している。ルートキットがスキャン中に自分を隠そうとすれば、ステルス検出によって見分けられる。もし一時的にシステムからアンロードしようとするならば、今までのアンチウイルスソフトがパターンファイルによって発見するだろう。この統合された防御によって、ルートキットにメモリからセキュリティソフトウェアを強制的に削除し、実質的にアンチウイルスソフトを殺してしまう反撃機構(retro routine)を攻撃者が実装することを余儀なくされる。

ルートキットを検出できるプログラムはいくつかある。Unix系のシステムでもっとも有名なものを二つ挙げるならchkrootkitとrkhunterだろう。Windowsプラットフォームで個人用でなら無償で使用できるステルススキャナーとしてはBlacklightというソフトがベータ版としてF-Secure社のWebsiteからダウンロードできる。他のWindows用検出ソフトとしてはRootkitRevealerというソフトがSysinternalsから入手できる。これはいまある全てのルートキットをOSの返す一覧と実際にディスクそれ自身から読み出した一覧とを比較することで検出することができる。ただし、いくつかのルートキットはこのプログラムを隠蔽先から外し始め、実質上、二つの一覧の違いを無くすことで検出ソフトによって表示されないようにしてきている。しかしrootkitrevealer.exeというファイル名をランダムな名前に変更することでこれは対処できる。この機能は最新のRkdetectorのリリースにも含まれている。

除去

ルートキットの除去が事実上禁止されているくらい非実用的なものだとする一定の意見が存在する。たとえルートキットの正体と特性がわかっていても、必要な技術や経験をもつシステム管理者の時間と労力はゼロからオペレーティングシステムをインストールすることに費やしたほうがましだというものである。「現存するルートキットは発見されたとしてももっと除去しづらいように作ることはできたはずだと思うが、そうするだけの充分な動機づけはないように思う。なぜなら経験あるシスアドがルートキットで汚染されたシステムを見つけた時の典型的な反応は、データをセーブして再フォーマットをかけることだからだ。これはルートキットが良く知られていて100%削除可能である場合ですらそうだ」Rootkit Question

システムがオンラインの時に他のファイルシステムドライバを用いてルートキットを削除する方法が存在する。Rkdetector v2.0はシステムが作動中の時に自分自身のNTFSもしくはFAT32ファイルシステムドライバを用いて隠しファイルを削除する方法を実装している。一度消去されシステムが再起動されると、データが壊れてしまうためルートキットは動作しなくなる。

コンピュータウイルスやワームとの比較

コンピュータウイルスとルートキットの鍵となる違いは増殖の仕方にある。ルートキットと同様に、コンピュータウイルスはシステムの中核ソフトウェアコンポーネントを修正し、「感染」の隠蔽を試みたり攻撃者にある種の機能やサービスを提供したりするコード(ウイルスの「ペイロード」)を追加する。

ルートキットの場合、ペイロードはルートキット(システムへと侵入したソフトウェア)の一貫性を維持しようとすることがある --- 例えばルートキットのpsコマンドは実行されるたびにシステムのinitinetdのコピーをチェックして、それらがのっとられたままであることを確認し、必要なら「再感染」を行なうかもしれない。ペイロードの残りの部分の目的は、侵入者がシステムを制御下に置き続けられるようにすることである。システムの制御は一般に、ハードコードされたユーザ名/パスワードの組、隠されたコマンドラインスイッチ、もしくは秘密の環境変数設定といったバックドアを介して行なわれる。バックドアにより、のっとられていないプログラムが提供するはずの正常なアクセス制御ポリシーを覆すのである。いくつかのルートキットはポートノッキングチェックをinetdsshdといった既存のネットワークデーモン(サービス)に加えたりする。

コンピュータウイルスはどのような種類のペイロードでも運べるが、それに加えてコンピュータウイルスは他のシステムへの伝播をも試みる。一般にルートキットのすることはひとつのシステムの制御の維持に限られている。

自動的にネットワークをスキャンして脆弱性のあるシステムを探し、脆弱性をついてシステムをのっとるプログラムもしくは一揃いのプログラムはコンピュータワームと呼ばれる。またもっと受動的に動作する形のコンピュータワームもあり、ユーザ名とパスワードを盗聴してそれを使ってアカウントをのっとり、そうして得たアカウントのそれぞれに自分自身のコピーをインストールする(そして普通はのっとったアカウント情報をある種の隠れチャネルを通じて侵入者へ送る)。

勿論混成型も存在する。ワームはルートキットをインストールできるし、ルートキットはひとつないしそれ以上のワームやスニファポートスキャナのコピーを含んでいるかもしれない。ウイルスであると同時にワームであるようなマルウェアも存在する。こうした言葉は全て使われ方がある程度重なっているものであり容易に合成されるものでもある。

一般的に入手できるルートキット

システム攻撃者によって利用されるほとんどのソフトウェアと同様に、多くの実装が共有されてインターネットで容易に入手可能になっている。侵入されたシステムで、一般に入手できる洗練されたルートキットが経験の乏しいプログラマによって書かれたとおぼしい粗雑なワームもしくは攻撃ツールを隠しているのを見るのは珍しいことではない。

インターネットで入手可能なほとんどのルートキットは概念実証(proof of concept)のために作られたものである。それらはコンピュータシステムの中に何かを隠す新しく実験的な手法の実用性を証明するために作られた。しかし実験的であるために、しばしばステルス性のために最適化されていない。そうしたルートキットで攻撃を行なうと、大変に効果的であったりする。しかし発見された時、例えばCDのような信頼できるメディアからオペレーティングシステムが起動されたような場合には、しばしば非常に明瞭な存在の痕跡を残す。例えば、「rootkit」といった名前のファイルをコンピュータシステム上のありがちな場所に残すなどである。

関連項目

外部リンク

ソフトウェア

商用

  • BOClean Privacy Software Corporation (Windowsのセキュリティとプライバシー保護)

シェアウェア

フリーウェアおよびオープンソースソフトウェア

  • chkrootkit Nelson MuriloとKlaus Steding-Jessen (UNIX/Linuxセキュリティ)
  • Rootkit Hunter Rootkit.nl (UNIX/Linux管理)
  • RootkitRevealer Sysinternals (Windows管理)
  • FLISTER joanna@invisiblethings.org (Windows 2000/XP/2003; ユーザモードおよびカーネルモードのWindowsルートキットによって隠されたファイルを検出するproof-of-conceptコード)
  • klister "joanna" (probably joanna@invisiblethings.org) (Windows 2000/XP/2003)
  • IceSword "pjf_" (こちら がpjf_とのインタビュー)
  • RootKit Hook Analyzer Resplendence Software Projects (Windows管理とセキュリティ)

"MoreBandwidthPls"[2][3] はhttp://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html、 http://www.technutopia.com/forum/showthread.php?t=1321http://en.wikinews.org/wiki/Sony's_DRM_protected_CDs_install_Windows_rootkits で Sony XCP DRMのルートキットの検出ソフトを書き http://downloads.technutopia.com/antivirus/SonyDRMxcpRootkitRevealer.exe で公開すると言っていたが、彼は手を引いたようである。

関連書籍

  • Butler, Jamie and Hoglund, Greg: Rootkits: Subverting the Windows Kernel. Addison Wesley, 2005. ISBN 0321294319
  • 渡辺勝弘 伊原秀明 不正アクセス調査ガイド—rootkitの検出とTCTの使い方 オライリー・ジャパン 2002 ISBN 4873110793
伝染性マルウェア
潜伏手法
収益型マルウェア
OS別マルウェア
マルウェアからの保護
マルウェアへの対策
カテゴリ カテゴリ

Read other articles:

Rich Nigga Timeline

2014 mixtape by MigosRich Nigga TimelineMixtape by MigosReleasedNovember 5, 2014Recorded2014GenreTrapgangsta rapLength79:59LabelQuality Control300ProducerCassius JayCheezeDekoDeeMoneyDJ DurelMario BeatsMurda BeatzPhenom Da DonStackboyTwaunSwift BangsTM88ZaytovenMigos chronology No Label 2(2014) Rich Nigga Timeline(2014) Yung Rich Nation(2015) Singles from Rich Nigga Timeline Wishy WashyReleased: January 6, 2015 Cross The CountryReleased: February 2, 2015 Rich Nigga Timeline (censored,...

 

Аса

Аса — термін, який має кілька значень. Ця сторінка значень містить посилання на статті про кожне з них.Якщо ви потрапили сюди за внутрішнім посиланням, будь ласка, поверніться та виправте його так, щоб воно вказувало безпосередньо на потрібну статтю.@ пошук посилань саме ...

 

Marine chemistry

Chemistry of oceans and seas Marine chemist redirects here. For the National Fire Protection Association professional certification, see Confined space § Entry certification. Total Molar Composition of Seawater (Salinity = 35)[1] Component Concentration (mol/kg) H2O 53.6 Cl− 0.546 Na+ 0.469 Mg2+ 0.0528 SO2−4 0.0282 Ca2+ 0.0103 K+ 0.0102 CT 0.00206 Br− 0.000844 BT (total boron) 0.000416 Sr2+ 0.000091 F− 0.000068 Marine chemistry, also known as ocean chemistry or chemical ...

نادي الزيتون (السعودية)

يفتقر محتوى هذه المقالة إلى الاستشهاد بمصادر. فضلاً، ساهم في تطوير هذه المقالة من خلال إضافة مصادر موثوق بها. أي معلومات غير موثقة يمكن التشكيك بها وإزالتها. (يوليو 2016) نادي الزيتون السعودي الألوان الأخضر و الأبيض تأسس عام 1395 هـ الملعب سبت العلاية  السعودية البلد السعودي...

 

غراند ريفر

غراند ريفر   الإحداثيات 40°49′08″N 93°57′45″W / 40.818888888889°N 93.9625°W / 40.818888888889; -93.9625  تقسيم إداري  البلد الولايات المتحدة[1]  التقسيم الأعلى مقاطعة ديكاتور  خصائص جغرافية  المساحة 0.538618 كيلومتر مربع0.538622 كيلومتر مربع (1 أبريل 2010)  ارتفاع 310 متر  عدد ال

 

Lista das 100 Mulheres (BBC) do ano de 2013

A lista das 100 Mulheres (BBC) do ano de 2013 premiou 100 mulheres por serem inspiradoras e influentes em diversas áreas. A série examina o papel das mulheres no século XXI e inclui eventos em Londres,[1] no México[2] e no Brasil. Assim que a lista é divulgada, é o começo do que é descrito pelo projeto como a temporada das mulheres da BBC, com duração de três semanas, que inclui a transmissão, relatórios online, debates e criação de conteúdo jornalístico sobre o tópico das m...

鈴木健吾 (陸上選手)

鈴木 健吾すずき けんご マラソングランドチャンピオンシップ(2019年9月15日撮影)選手情報フルネーム 鈴木 健吾ラテン文字 SUZUKI Kengo国籍 日本競技 陸上競技種目 長距離種目所属 富士通大学 神奈川大学経済学部現代ビジネス学科生年月日 (1995-06-11) 1995年6月11日(28歳)生誕地 ・愛媛県宇和島市身長 163cm体重 46kg自己ベスト5000m 13分57秒88(2016年)10000m 27分49秒16(2020年)...

 

Rick Astley

British singer (born 1966) Rick AstleyAstley at Glastonbury Festival 2023BornRichard Paul Astley (1966-02-06) 6 February 1966 (age 57)Newton-le-Willows, Lancashire, EnglandOccupations Singer songwriter radio personality Years active 1985–1993 2000–present Spouse Lene Bausager ​(m. 2003)​Children1Musical careerGenres Pop dance-pop blue-eyed soul Instrument(s) Vocals drums guitar DiscographyRick Astley discographyLabels PWL RCA Polydor Musical artistWe...

 

Arai (empresa)

Arai Helmet Tipo negocio y empresaForma legal Sociedad de responsabilidad limitadaFundación 1926Sede central Saitama, JapónSitio web www.araihelmet.com[editar datos en Wikidata] Este artículo o sección necesita referencias que aparezcan en una publicación acreditada.Este aviso fue puesto el 1 de julio de 2020. Arai Helmet es una empresa japonesa que diseña y fabrica cascos de motocicleta y automovilismo. Creada en 1926 por Hirotake Arai, en sus inicios se dedicaba a la fabrica...

Sahazalalpur

Village in West Bengal, IndiaSahazalalpurVillageKotwali BhavanNickname: KotwaliSahazalalpurLocation in West Bengal, IndiaShow map of West BengalSahazalalpurSahazalalpur (India)Show map of IndiaSahazalalpurSahazalalpur (Asia)Show map of AsiaCoordinates: 25°02′52″N 88°06′04″E / 25.0479°N 88.1011°E / 25.0479; 88.1011Country IndiaStateWest BengalDistrictMaldaArea • Total8.84 km2 (3.41 sq mi)Elevation30 m (100 ft)Po...

 

Radium jaw

Former occupational disease caused by radium, resulting in deformation of the jawbones The American journal of roentgenology, radium therapy and nuclear medicine (1906) Radium jaw, or radium necrosis, is a historic occupational disease brought on by the ingestion and subsequent absorption of radium into the bones of radium dial painters.[1][2] It also affected those consuming radium-laden patent medicines. The condition is similar to phossy jaw, an osteoporotic and osteonecrot...

 

Anatomy of Murder

This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages) This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Anatomy of Murder – news · newspapers · books · scholar · JSTOR (March 2018) (Learn how and when to remove ...

Mohali Village

This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages) This article is an orphan, as no other articles link to it. Please introduce links to this page from related articles; try the Find link tool for suggestions. (May 2015) This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and ...

 

園田学園女子大学

園田学園女子大学 園田学園女子大学大学設置 1966年創立 1938年学校種別 私立設置者 学校法人園田学園本部所在地 兵庫県尼崎市南塚口町7-29-1学部 人間健康学部人間教育学部経営学部ウェブサイト https://www.sonoda-u.ac.jp/テンプレートを表示 園田学園女子大学(そのだがくえんじょしだいがく、英語: Sonoda Women's University)は、兵庫県尼崎市南塚口町7-29-1に本部を置く日本...

 

Moore Market Complex railway station

Railway station in Chennai 13°05′00″N 80°16′27″E / 13.08321°N 80.27424°E / 13.08321; 80.27424 Chennai Suburban TerminalMoore Market ComplexChennai Suburban Railway stationThe office complex and entrance of the stationGeneral informationLocationStation Road, Chennai, Tamil Nadu, IndiaOwned byMinistry of Railways, Indian RailwaysLine(s)North Line, West Line and West North LinePlatforms5Tracks5ConstructionStructure typeStandard on-ground stationParkingAvailabl...

Folk metal

Fusion genre of heavy metal music and traditional folk music Folk metalStylistic origins Heavy metal folk world Cultural originsEarly 1990s, EuropeDerivative forms Viking metal Pagan metal Pirate metal Oriental metal Subgenres Celtic metal medieval metal Other topics Folk punk Latin metal list of folk metal bands Folk metal is a fusion genre of heavy metal music and traditional folk music that developed in Europe during the 1990s. It is characterised by the widespread use of folk instruments ...

 

Forward Operating Base Bostick

FOB Bostick Naray, Kunar Province in AfghanistanU.S. Army soldiers firing M777 howitzer from FOB Bostick, 2009FOB BostickShown within AfghanistanCoordinates35°12′33″N 71°31′18″E / 35.20917°N 71.52167°E / 35.20917; 71.52167TypeForward operating baseSite informationOwnerInternational Security Assistance Force (ISAF)OperatorUnited States Armed ForcesAfghan National ArmySite historyBuilt2005 (2005)In use2005-2013 (2013)Airfield information H...

 

Turquoise (color)

Greenish-blue color This article is about the color. For other uses, see Turquoise (disambiguation). Turquoise      Color coordinatesHex triplet#40E0D0sRGBB (r, g, b)(64, 224, 208)HSV (h, s, v)(174°, 71%, 88%)CIELChuv (L, C, h)(81, 59, 179°)SourceX11ISCC–NBS descriptorBrilliant bluish greenB: Normalized to [0–255] (byte) Turquoise (/ˈtɜːrk(w)ɔɪz/ TUR-k(w)oyz) is a blue-green color, based on the mineral of the same name. The word turquoise dates to the 17th centur...

Observación de ciclón tropical

Carta de superficie de tiempo del Huracán del Día del trabajo de 1935, moviéndose por la costa oeste de Florida La observación de ciclón tropical se ha estado llevando cabo en los dos pasados siglos de varias maneras. The passage of typhoons, hurricanes, as well as other tropical cyclones have been detected by word of mouth from sailors recently coming to port or by radio transmissions from ships at sea, from sediment deposits in near shore estuaries, to the wiping out of cities near the...

 

Municipio di Leida

Municipio di Leida(NL) Stadhuis van LeidenLa facciata principaleLocalizzazioneStato Paesi Bassi ProvinciaOlanda Meridionale LocalitàLeida IndirizzoBreestraat Coordinate52°09′29″N 4°29′27″E / 52.158056°N 4.490833°E52.158056; 4.490833Coordinate: 52°09′29″N 4°29′27″E / 52.158056°N 4.490833°E52.158056; 4.490833 Informazioni generaliCondizioniIn uso Costruzione1595 e 1932 Inaugurazione1940 Distruzioneincendio nel 1929, resta solo la fac...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!