アンチルートキットと修復テクノロジー
ルートキット - とは、悪意のあるコードとアクティビティが検知されないようにさまざまな技法を駆使し、アンチウイルスによる修復に対抗する悪意のあるプログラムのことです。アンチルートキット テクノロジーは、カスペルスキーの次世代型多層保護アプローチの一部であり、ルートキットプログラムによるアクティブな感染を検知して、この種の感染からシステムを修復します。
通常、ルートキットはドライバー(あるいはドライバのチェーン)を含み、カーネルモードで動作し、以下の機能の一部またはすべてを実行します。
- ストレージ(HDD)のファイル、Windowsレジストリのキーと値、システムのプロセス、ロード済みモジュール、メモリ領域(ファイルレスマルウェアの場合)、ネットワークアクティビティ、ディスクのセクター、その他のオブジェクト、アーティファクトを隠蔽する。
- アンチウイルスによって検知されたルートキットの変更や排除に対抗する(変更されたルートキットの復元など)。
- 悪意のあるコードやアプリケーションのためにOSカーネルへのアクセス(アンチウイルスのプロセスを終了するため)、正当なプロセスへの悪意のあるコードのインジェクション、ネットワークトラフィックの傍受(スニッフィング)、プロセスキーの傍受(キーロギング)など。
マルウェア作成者は、アンチウイルスソフトウェアが動作している場合でも、標的ホスト上で長期間にわたり悪意のあるコードを機能させようとします。この目的を達成するには、検知およびアクティブな感染からの修復をさまざまな技法で妨げる必要があり、オペレーティングシステムのメソッドを、文書化されているか否かにかかわらず、使用する可能性があります。ルートキットはユーザモードとカーネルモードでのさまざまな傍受アプローチ、オブジェクト(DKOM)による操作、フィルタードライバーを回避する技法、コールバック関数を使用することなどが知られています。システムの被害を持続させるために、ルートキットはオペレーティングシステム起動の早い段階で実行を開始する必要があるため、プライマリーブートレコード (PBR) とボリュームブートレコード (VBR). のようなブートセクターを感染させます。このような機能を備えたルートキットは「ブートキット」と呼ばれています。
カスペルスキーのアンチルートキットテクノロジー
- オペレーションシステムのシステムメモリ内でアクティブな感染の調査
- 自動実行に使用される可能性のあるすべての場所をスキャン
- アクティブな感染が検知された場合に修復し、オペレーティングシステム起動の早期の段階でリカバリの実行
- 感染したシステムに製品をインストールする際の、アクティブな感染の封じ込め
この複雑なマルチモジュール保護テクノロジーは、アクティブな感染の検知と封じ込めを目的として、精密なアプローチと汎用的なアプローチという2つのアプローチを導入します。*
精密なアプローチ: 存在の隠蔽やアンチウイルスによる修復への対抗のような、特定のルートキット技法を標的にして検知と封じ込めを実行し、最新の感染に短時間で対処してルートキットから保護します。汎用的なアプローチよりも導入時間を短縮可能なアプローチです。
汎用的なアプローチ: アンチルートキットは、アクティブなプロセス、システムモジュール、メモリ、自動実行オブジェクトをスキャンし、エミュレータ、静的ヒューリスティック、機械学習モデルで利用されるふるまいベースのヒューリスティックなど、他のアンチウイルスコンポーネントがマルウェアコードにアクセスできるようにします。前述のコンポーネントのいずれかによってルートキットが起動した場合、アンチルートキットはシステムを駆除します。
アンチルートキットは以下のコンポーネントで構成されます。
- インストーラープロテクター: 被害を受けているシステムにセキュリティ製品をインストールする際に、アクティブな感染に対抗します。
- 低レベルのディスクへのアクセス、低レベルのレジストリへのアクセス、封じ込め: さまざまなアクセス遮断方法を回避し、ハードディスクとWindowsレジストリに低レベルでアクセスします。修復中にアクティブな感染を封じ込めるための技術が実装されています。
- ブートステージクリーナー: オペレーティングシステム起動の早期の段階で修復を実行します。
- システムメモリスキャナー: システムメモリ内のルートキットを探して修復するためのモジュールです。
- ファイルシステムパーサー、レジストリパーサー: 多数の形式のファイルシステムとWindowsレジストリを解析します。
- 重要な領域のスキャナー: 前述のモジュールを活用して、自動実行オブジェクトのスキャンと修復を実行するモジュールです。
*カスペルスキーの製品はこれら両方のアプローチを活用します。