Language
ブートキット: 進化と検出方法
ホームページホームページ > ブログ > ブートキット: 進化と検出方法
最新ニュース

ブートキット: 進化と検出方法

Jun 17, 2023

サイバー犯罪者は、ウイルス対策ツールなどによる検出を回避しながら、最大の権限でターゲット システムに長期的な足場を築くための新しい方法を常に探しています。 ほとんどの保護ツールはオペレーティング システムと一緒に起動されるため、OS がロードする前にマルウェアがロードされると、検出の可能性が低くなります。 マルウェア開発者のもう 1 つの目標は、OS の再インストール後も制御と特権を保持することです。 これには、マルウェアを低レベル ソフトウェア (デバイスのファームウェアまたはハード ドライブの最初のセクター) に読み込む必要があります。 そこで登場したのがブートキットです。

ブートキットは、OS が起動する前に実行される悪意のあるコードです。 ブートキットの主な目的は、システム内に足場を築き、他のマルウェアをセキュリティ ツールによる検出から守ることです。

現実ですか、それとも概念的ですか?

これまで、ブートキットは主に概念実証で存在すると考えられていました。概念実証 (PoC) は、脆弱性の悪用可能性を実証するものです。 形式であり、実際の攻撃では使用されません。 ただし、最初の PoC が出現してから最初のブートキット攻撃が発生するまでの期間はわずか 2 年でした。

ブートキットの PoC は、攻撃者がどのような方法やテクニックを使用する可能性が高いか、予防的な保護を提供するために何を探すべきかについての洞察を提供するため、アナリストや研究者にとって特に興味深いものです。

マルウェア開発者は現在、Satana、Petya、TrickBot などのさまざまなボットネットなどのブートキット機能を自身の作成物に追加しています。 APT グループは、Careto、Winnti (APT41)、FIN1、APT28 などのブートキットのアクティブ ユーザーでもあります。

このレポートを作成する際に、PoC 形式と 2005 年から 2021 年に実際の攻撃で遭遇したブートキット ファミリの両方を分析しました。

サイバー犯罪者は通常、電子メールを介した標的型フィッシングを使用して、インフラストラクチャにマルウェアを注入します。 たとえば、Mebromi および Mosaic Regressor ブートキットはこのようにして配布されます。 もう 1 つの配信ルートは Web サイト経由です。これには、ターゲットを Pitou および Mebrot マルウェアに感染させるために使用されたドライブバイ侵害手法が含まれます。 後者を配布したサイバー犯罪者は、1,500 以上の Web リソースをハッキングし、そこにマルウェアを配置しました。 FispBoot ブートキットは、Trojan-Downloader.NSIS.Agent.jd トロイの木馬に最初に感染したデバイスに感染し、被害者はビデオ クリップを装ってダウンロードしました。

ブートキットとルートキットの違い

ブートキットはルートキットとよく混同されます。ルートキットは、システム内のマルウェアの存在を隠すためのプログラム (プログラムのセット) です。 。 主な違いは、OS が起動する前でもブートキットが動作を開始することです。 これらは、正規のローダー (マスター ブート レコード (MBR)、ボリューム ブート レコード (VBR)、または UEFI) と同じレベルの制御を持ち、OS ブート プロセスに干渉し、ブート プロセスを監視および変更したり、ブート プロセスを変更したりすることができます。たとえば、セキュリティ メカニズムをバイパスする悪意のあるコードなどです。 ブートキットは多くの場合、カーネル レベルのルートキットをこっそり導入するための環境を作成します。

マスター ブート レコード (MBR) には、デバイスを適切に起動するために必要な情報とコードが含まれています。 ハードドライブの最初のセクターに保存されます。 ボリューム ブート レコード (VBR) または初期プログラム ローダー (IPL) は、OS の起動に必要なデータをロードします。 これは、ハードドライブ上のパーティションの最初のセクターに保存されます。

ブートキットの機能

ほとんどの場合、ブートキットには次の機能があります。

一部のブートキットでは、攻撃者が認証を回避できます。 たとえば、Vbootkit x64 および DreamBoot ブートキットの PoC にはこの機能があります。

高度に標的を絞った攻撃のツールとしてのブートキット

攻撃者にとって独自のブートキットを開発するのは簡単な作業ではありませんが、現実にはブートキットは非常に一般的です。 たとえば、アフリカ、アジア、ヨーロッパの外交官や非政府組織のメンバーをスパイする攻撃者は、Mosaic Regressor ブートキットを使用して標的システムへの足がかりを獲得しました。 別の最先端のブートキットである MoonBounce を使用した攻撃を分析した研究者は、攻撃者が被害者の IT インフラストラクチャについて深い知識を持っていることに驚きました。 彼らは、攻撃者がデバイスのファームウェアを徹底的に調査していたことを確認しました。これは、これが高度に標的を絞った攻撃であることを示唆しています。