進化する、トロイの木馬型ルートキット「StealthMBR」

トロイの木馬型ルートキット「StealthMBR」(別名「Mebroot」)には、様々な亜種が複数存在しており、実際にインターネット上に出回っています。これらの亜種は、オリジナルのStealthMBRから大きく進化しているのが特徴です。今回は、ルートキットStealthMBRが進化した亜種について紹介しましょう。

StealthMBRは、ルートキットの中で最もステルス性が高く検出しにくいと言われています。これらの亜種は、「より深く侵入する」手口を使用することで、検出から逃れようとしています。簡単に説明すると、カーネルオブジェクト(デバイスオブジェクト)を乗っ取り、マスターブートレコード(MBR)に対するアクセスを探し出し、検出と駆除を邪魔します。これまでのStealthMBRは、「\driver\disk」のI/O要求パケット(IRP)テーブルに低レベルフックを設けていましたが、亜種はより低い階層にあるドライバのIRPテーブルをフックできるように変化しています。こうしたフックは常に存在するわけでなく、何らかの動作に連動してオンデマンドで一時的に有効化されます。乗っ取られたディスクデバイスオブジェクトは、この仕組みを実現するためだけに利用されています。

またこれらの亜種は、検出するだけではなく、駆除することも非常に難しいのが特徴です。PCに再感染するための監視機構を組み込むことで、駆除の意味を無くしています。感染したMBRのダンプを以下に示します。外部メディアを外した状態で調べると、感染したMBRが現れます。

感染したMBR

乗っ取られたディスクデバイス用カーネルオブジェクトは以下の通りです。

乗っ取られたオブジェクト

一度PCへの侵入に成功すれば、感染状態の維持にファイルやレジストリエントリを使用する必要はありません。ただ、侵入には実行可能型ファイルのドロッパーを使用する必要があります。ドロッパーも従来のStealthMBRと異なっています。この新たなドロッパーは、マルウェア「StealthMBR.a」としてマカフィー製品では検出されます。ドロッパーとファイルが検出可能なため、問題の原因を特定すると同時に、ユーザーを感染から守ることが可能です。さらに、感染後に脅威を検出/駆除する方法についても、既に提供を行っています。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。