マルウェアには様々な種類があります。多くの場合、マルウェアは他のファイルと同様にコンピュータのオペレーティングシステムに保存され、高い権限の有無にかかわらずソフトウェアとして実行されます。発見された場合、通常はファイルシステムから簡単に削除するか、オペレーティングシステムの再インストール時に削除できます。しかし、ルートキットは別のマルウェアです。
ルートキットとは何ですか?
ルートキットは、コンピュータへのアクセスを提供し、コンピュータ上で実行されている他の悪意のあるソフトウェアを隠蔽するように設計されています。一部のルートキットは、オペレーティングシステムの通常のファイルシステムではなく、ファームウェアなどの他の場所に格納されます。また、ルートキットは通常のソフトウェアレベルではなく、カーネルレベルで実行されることもよくあります。
このようなマルウェアは、通常のマルウェアに比べて、多くの技術的およびプログラミング上の課題に直面しているため、開発には多大な労力が必要です。
カスペルスキー社の新たな調査により、特定のコンピューターの統合拡張ファームウェア インターフェース (UEFI) にひっそりと潜む CosmicStrand と呼ばれるルートキットが明らかになりました。
カスペルスキーによると、ルートキットはGigabyteまたはASUS製マザーボードのファームウェアイメージに存在します。感染したファームウェアイメージはH81チップセットを使用した設計に関連しているため、共通の脆弱性が存在する可能性があり、攻撃者がルートキットをファームウェアイメージに挿入できた可能性があります。
CosmicStrandはどのように機能しますか?
影響を受けるファームウェアイメージは、システム起動時に悪意のあるコードを実行するように改変されています。長い実行チェーンがトリガーされ、影響を受けるマシンのWindowsオペレーティングシステムカーネル内に悪意のあるコンテンツがダウンロードされ、展開されます。ファームウェアの最初のエントリポイントは、.relocセクションに追加されたコード実行にリダイレクトするようにパッチが適用されています。
研究者らによると、ファームウェアは自動パッチツールで変更されており、攻撃者は事前に被害者のコンピュータにアクセスしてファームウェアを抽出し、悪意のあるコードを挿入してマザーボードのファームウェアを上書きしていたことになる。
このルートキットの目的は、オペレーティングシステムのカーネルレベルで悪意のあるコードを実行させることであるため、感染経路は非常に複雑で、通常のマルウェア感染よりもはるかに複雑です。UEFIコードはWindowsシステムが読み込まれる前に実行されるため、攻撃者は何らかの方法で悪意のあるコードをオペレーティングシステムに渡す必要があります。その際、UEFIコードは既に終了しているはずです。
攻撃者は、複数のフックを連続して設定することでこれを実現し、オペレーティング システムの起動後に悪意のあるコードを実行できるようにします (図 A)。
図A
感染チェーンの過程で、ルートキットは、メモリ内の Windows カーネルの主要構造の変更を防ぐ 64 ビット Windows セキュリティ メカニズムであるカーネル パッチ保護 (KPP) (別名 PatchGuard) を無効にします。
オペレーティング システムのブートの最後に、CosmicStrand ルートキットはカーネルのアドレス空間にバッファーを割り当て、そこにシェルコードをマッピングしてから実行します。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
カーネルレベルの悪意のあるペイロード
ルートキットによって実行されるシェルコードは、winlogon.exe 内の新しいスレッドを待機し、このコンテキストで高権限のコールバックを実行します。その後、10分間スリープしてからインターネット接続をテストします。このテストは、通常の高レベルAPI関数ではなく、トランスポートデバイスインターフェースを介して行われ、GoogleのDNSサーバーまたは中国にあるカスタムDNSサーバーにDNSリクエストを送信します。
インターネット接続が利用可能な場合、シェルコードはC2サーバupdate.bokts[.]comから最終ペイロードを取得します。CosmicStrandからのペイロードは、おそらく自動分析ツールを無効化するため、特定の構造に従った528バイトのチャンクで受信されると予想されます。
この最後のペイロードはカスペルスキーによって取得できませんでしたが、研究者たちは分析できた感染コンピュータの1台のメモリ内に、ユーザーモードのサンプルを発見しました。CosmicStrandに関連していると考えられるこのサンプルは、標的のマシンに「aaaabbbb」というユーザーを作成し、そのユーザーをローカルの管理者グループに追加します。
個人を狙った長期にわたる脅威
カスペルスキーは、別のC2サーバーにアクセスして追加のシェルコードを取得するルートキットの古いバージョンを発見しました。これらの古いバージョンは2016年末から2017年半ばにかけて使用された可能性がありますが、最新バージョンは2020年に活動していました。このルートキットの以前のバージョンは、2017年にQihoo360によっても分析されています。
研究者が発見した両方の C2 サーバーに関連するデータの分析により、ドメインの存続期間が長く、限られた期間に異なる IP アドレスに解決され、その期間外ではルートキットは動作しなかったことが判明しました。
CosmicStrand の脅威の標的に関して、カスペルスキー社は、テレメトリ内の被害者は全員、中国、ベトナム、イラン、ロシアに所在し、同社の製品の無料版を使用している個人であるようだと指摘した。
中国の脅威アクターの可能性
カスペルスキーによれば、いくつかのデータから「CosmicStrand は中国語を話す脅威アクターによって開発されたか、中国語を話す脅威アクター間で共有されている共通リソースを活用して開発された」と考えられます。
MyKingsボットネットは、中国語圏の脅威アクターによって開発されたとみられるCosmicStrandでも確認されているコードパターンを多数使用しています。両脅威は、カーネルモードでメモリを割り当てる際に同一のタグを使用し、ネットワークパケットの生成方法も共通しています。また、両脅威で使用されるAPIハッシュコードも同一であり、Kasperskyによると、このコードが使用されているルートキットはMoonBounceとxTalkerの2つだけで、これらも中国語圏の脅威アクターが関与しているとされています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ルートキットを検出するにはどうすればいいですか?
ルートキットは、特にオペレーティング システム外のハードウェア機能を使用する場合、検出が困難です。CosmicStrand ルートキットがこれに該当します。
コンピュータのアクティビティを最低レベルでスキャンするセキュリティ ソフトウェアは、ルートキットからの異常なアクティビティを検出し、正常に検出する可能性があります。
これを検出するもう一つの方法は、ルートキットに感染していないが同じネットワークに接続されているすべてのシステムを介して行うことです。侵入検知システム/侵入防止検知システム (IDS/IPS) を使用して、他のマルウェアと同様に悪意のあるネットワークアクティビティを検出できます。
コンピュータがUEFIルートキットを実行している疑いがある場合、インシデント対応者はファームウェアに異常がないか確認することがあります。ベンダーが提供したハッシュと異なるハッシュを示すファームウェアは、侵害されている可能性が高いです。
最後に、悪意のあるファイルをWindowsオペレーティングシステムから削除したとしても、起動のたびにルートキットによって再インストールされることを理解しておく必要があります。悪意のあるファームウェアを置き換えるには、クリーンで安全なバージョンのファームウェアをインストールする必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
