ルートキット.

ルートキットは、攻撃者に永続的かつ高権限なアクセスを与えると同時に、ファイル・プロセス・レジストリキー・ドライバ・ネットワーク接続を防御側から隠蔽する一連のツール群、またはカーネル/ファームウェアコンポーネントです。ルートキットはさまざまなリングで動作します。ユーザーモード(API のフック)、カーネルモード(カーネルやシステムコールテーブルの改ざん)、ブートキット(ブートローダーの乗っ取り)、ファームウェア(UEFI/BIOS)であり、より深い層に配置されるほど高いステルス性と存続性を持ちます。

その段階的なエスカレーションを 3 つの節目が示しています。2005 年の Sony BMG XCP コピー保護スキャンダルでは、CD のソフトウェアが $sys$ で始まるあらゆるファイルを隠すルートキットを密かにインストールし、数百万台の一般消費者向け PC を危険にさらしました。2018 年には ESET が LoJax を文書化しました。これは実環境で発見された最初の UEFI ルートキットで、ロシア関連の Sednit/APT28 グループによるものとされ、SPI フラッシュを書き換えることで OS の再インストールやディスク交換を経ても存続しました。2023 年には BlackLotus が、完全にパッチ適用された Windows 11 上で Secure Boot を破った最初の UEFI ブートキットとなりました。これは CVE-2022-21894(「Baton Drop」)を悪用して BitLocker、HVCI、Defender を無効化し、フォーラムで約 5,000 ドルで販売されていました。

検知にはメモリフォレンジック、整合性/アテステーションの検証、オフラインスキャンが必要です。感染した稼働中の OS は、自身について正しく報告すると信頼できないためです。緩和策には、最新の失効リスト(DBX)を備えた UEFI Secure Boot、署名済みドライバの強制、TPM ベースの計測ブート、カーネルモードソフトウェアの最小化などが含まれます。

flowchart TB
  subgraph ステルスの深さ
    U[ユーザーモードルートキット、API フック] --> K[カーネルモード、システムコール改ざん]
    K --> B[ブートキット、ブートローダー乗っ取り]
    B --> F[ファームウェア UEFI、SPI フラッシュ存続]
  end
  F --> P[OS 再インストールとディスク交換を経ても存続]