進化する、トロイの木馬型ルートキット「StealthMBR」

2011/04/26

トロイの木馬型ルートキット「StealthMBR」(別名「Mebroot」)には、様々な亜種が複数存在しており、実際にインターネット上に出回っています。これらの亜種は、オリジナルのStealthMBRから大きく進化しているのが特徴です。今回は、ルートキットStealthMBRが進化した亜種について紹介しましょう。

StealthMBRは、ルートキットの中で最もステルス性が高く検出しにくいと言われています。これらの亜種は、「より深く侵入する」手口を使用することで、検出から逃れようとしています。簡単に説明すると、カーネルオブジェクト(デバイスオブジェクト)を乗っ取り、マスターブートレコード(MBR)に対するアクセスを探し出し、検出と駆除を邪魔します。これまでのStealthMBRは、「\driver\disk」のI/O要求パケット(IRP)テーブルに低レベルフックを設けていましたが、亜種はより低い階層にあるドライバのIRPテーブルをフックできるように変化しています。こうしたフックは常に存在するわけでなく、何らかの動作に連動してオンデマンドで一時的に有効化されます。乗っ取られたディスクデバイスオブジェクトは、この仕組みを実現するためだけに利用されています。

またこれらの亜種は、検出するだけではなく、駆除することも非常に難しいのが特徴です。PCに再感染するための監視機構を組み込むことで、駆除の意味を無くしています。感染したMBRのダンプを以下に示します。外部メディアを外した状態で調べると、感染したMBRが現れます。

感染したMBR

乗っ取られたディスクデバイス用カーネルオブジェクトは以下の通りです。

乗っ取られたオブジェクト

一度PCへの侵入に成功すれば、感染状態の維持にファイルやレジストリエントリを使用する必要はありません。ただ、侵入には実行可能型ファイルのドロッパーを使用する必要があります。ドロッパーも従来のStealthMBRと異なっています。この新たなドロッパーは、マルウェア「StealthMBR.a」としてマカフィー製品では検出されます。ドロッパーとファイルが検出可能なため、問題の原因を特定すると同時に、ユーザーを感染から守ることが可能です。さらに、感染後に脅威を検出/駆除する方法についても、既に提供を行っています。