McAfee Avert Labs Blog
StealthMBR gets a makeover」より
April 19,2009 Posted by Rachit Mathur

 最近,トロイの木馬型ルートキット「StealthMBR」(別名「Mebroot」)に新たな亜種が複数登場し,実際に出回っていることが確認された。これらの亜種はこれまでのStealthMBRから大きく変化している(関連記事:StealthMBRの持つ防衛策を見極める/マスター・ブート・レコード(MBR)を狙うルートキットが再び活発に)。

 StealthMBRは,これまでに現れたルートキットの中で最もステルス性が高く検出しにくいと言われているはずだ。新しい亜種は,「より深く侵入する」手口を使って検出から逃れようとしている。簡単に説明すると,カーネル・オブジェクト(デバイス・オブジェクト)を乗っ取ってマスター・ブート・レコード(MBR)に対するアクセスを探し,検出と駆除を邪魔する。これまでのStealthMBRは「\driver\disk」のI/O要求パケット(IRP)テーブルに低レベル・フックを設けていたが,新たな亜種はより低い階層にあるドライバのIRPテーブルをフックできるようになった。こうしたフックは常に存在するわけでなく,何らかの動作に連動してオンデマンドで一時的に有効化する。乗っ取られたディスク・デバイス・オブジェクトは,この仕組みを実現するために利用される。検出だけでなく駆除も難しい。パソコンに再感染するための監視機構を組み込むことで駆除の意味をなくしている。感染したMBRのダンプを以下に示そう。外部メディアを外した状態で調べると,感染したMBRが現れる。

感染したMBR

 乗っ取られたディスク・デバイス用カーネル・オブジェクトは以下の通り。

乗っ取られたオブジェクト

 一度パソコンへの侵入に成功すれば,感染状態の維持にファイルやレジストリ・エントリを使う必要がなくなる。ただし,侵入には実行可能型ファイルのドロッパーを使う。ドロッパーも従来のStealthMBRと異なる。この新たなドロッパーはマルウエア「StealthMBR.a」として検出できるようにした。ありがたいことに,ドロッパーがダウンロードするいくつかのファイルは「PWS-JA.gen.a」として以前から検出できる状態にあった。ドロッパーとファイルが検出可能なので,問題の原因を特定し,何よりもユーザーを感染から守ることができる。さらに我々は,感染後に脅威を検出/駆除する方法も編み出した。この方法は現在テストを行っており,直ちに定義ファイル(DAT)の定期アップデートで配布することにしている。

 この問題はまだ調査中だが,実施予定のWebキャストを案内しておこう。WebキャストではStealthMBRの機能を解説するとともに,今回のような複雑な脅威に対抗するソリューションを特別なスタンドアロン・ツールを使わず定期DATアップデートで提供する我々のやり方も紹介する。ルートキット分野の現状や使われている手口も取り上げる。ぜひ参加して,読者の環境に適したルートキット感染対策や不幸にも感染してしまった場合の対処法を学んでほしい。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「StealthMBR gets a makeover」でお読みいただけます。