セキュリティ・コンサルタント
村上 純一

　前回で述べたように，昨今流行しているボットやスパイウェアなどのマルウエアでは，ルートキットを悪用して，その存在を隠す手口が使われている。今回は，その一例としてMAILBOTの亜種であるMAILBOT.ARを紹介する。

　MAILBOT.ARは，2006年5月に発見されたルートキットを悪用するボットの一種である。検体はOffensive Computingから取得できる。

ボットの動作を逆アセンブリで解析

　MAILBOT.ARは，実行ファイル（.exeファイル）中にシステム・ファイル（.sysファイル）が埋め込まれた構造を持つ。プログラムの実行時に動的にこのシステム・ファイルを生成する。図1に，該当する機械語コードの逆アセンブルを示す。GetTempPathA APIを呼び出してテンポラリ・フォルダを取得した後，フォルダ中にsysbus32.sysを生成していることが分かる。

図1●テンポラリ・フォルダにsysファイル （sysbus32.sys）を書き込もうとしているところ

　次に，生成したシステム・ファイルをCreateService API，StartService APIを順に呼び出してサービス化する（図2）。.exeファイルが.sysファイルを生成し，サービス化した後，.exeはcmd.exeを使って自身のファイルを消去する（図3）。この結果，コンピュータ上に存在するrootkitのコンポーネントはsysのみとなる。通常，サービスの一覧は「scコマンド」や「winmsdコマンド」を利用して取得できる。また，レジストリには各サービスに対応したレジストリ・エントリが，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services以下に作成される。

図2●ｓｙｓファイルをサービス化しようとしているところ

図3●cmd.exeを使って自身のファイルを消そうとしているところ

　しかし，MAILBOT.ARに感染した場合は，いずれの方法でもその存在を確認することはできない。前述のサービス化されたシステム・ファイルがカーネルを改変し，感染の痕跡を隠蔽（いんぺい）しているためである。

　幸いにも，MAILBOT.ARの場合，インターネット上で公開されているいつかのルートキット検出ツールで検出できる。図4はGMERと呼ばれるルートキット検出ツールの実行結果である。GMERの実行結果から，カーネルに対して以下の3種類の改変が行われていることが分かる。

図4●GMERを使ったシステムの検索結果

1．SSDT（System Service Descriptor Table）に対するパッチング
SSDTの詳細については本稿では割愛するが，呼び出されたAPIとAPIの実処理の関連付けを管理しているテーブルと理解して頂きたい。MAILBOT.ARは，SSDTに対して上書きを行うことで，ZwEnumerateKey APIの処理を横取りし，感染の痕跡となるレジストリキーを隠ぺいしている。

2．nfts.sysに対するメモリ・パッチング
nfts.sysはNTFSファイルシステムを実装しているファイル・システム・ドライバで，OSの起動時に自動的にカーネルにロードされる。MAILBOT.ARは，カーネルにロードされたメモリー上のntfs.sysを書き換えることでファイル操作を横取りし，感染の痕跡となるファイルを隠ぺいしている。

3．tcpip.sysに対するメモリパッチング
tcpip.sysはTCP/IPスタックを実装しているシステム・ファイルで，OSの起動時に自動的にカーネルにロードされる。MAILBOT.ARは，カーネルにロードされたメモリー上のtcpip.sysを書き換えることでTCPやUDPによるネットワーク処理を横取りし，感染の痕跡となる通信を感染コンピュータ上からは確認できないよう隠ぺいしている。

　次回は，ルートキットで利用されている様々な技術について，詳しく解説する。