Windows 10でルートキットを検出する方法（詳細ガイド）

ルートキットは、ハッカーがデバイス内に永続的で一見検出できないマルウェアを隠すために使用します。マルウェアは、場合によっては数年にわたって、データやリソースをサイレントに盗みます。また、キーストロークと通信が監視され、見物人にプライバシー情報を提供するキーロガー方式で使用することもできます。

この特定のハッキング方法は、Microsoft Vistaがベンダーにすべてのコンピュータードライバーにデジタル署名することを要求する前に、2006年以前により関連性が見られました。カーネルパッチプロテクション（KPP）により、マルウェア作成者は攻撃方法を変更し、2018年の時点でZacinloの広告詐欺操作により、ルートキットが再び脚光を浴びました。

2006年より前のルートキットはすべて、特にオペレーティングシステムベースでした。 DetrahereマルウェアファミリーのルートキットであるZacinloの状況は、ファームウェアベースのルートキットの形でさらに危険なものを私たちに与えました。とにかく、ルートキットは、毎年見られるすべてのマルウェア出力の約1パーセントにすぎません。

それでも、危険性があるため、システムにすでに侵入している可能性のあるルートキットの検出がどのように機能するかを理解するのが賢明です。

Windows 10でのルートキットの検出（詳細）

Zacinloは、Windows 10プラットフォームをターゲットにしていることが発見されるまで、実際にはほぼ6年間使用されていました。ルートキットコンポーネントは高度に構成可能であり、その機能にとって危険であると見なされたプロセスから自身を保護し、SSL通信を傍受および復号化することができました。

すべての構成データを暗号化してWindowsレジストリ内に保存し、Windowsのシャットダウン中に、別の名前を使用してメモリからディスクに再書き込みし、レジストリキーを更新します。これにより、標準のウイルス対策ソフトウェアによる検出を回避できました。

これは、標準のウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアではルートキットを検出するのに十分ではないことを示しています。ただし、ルートキット攻撃の疑いを警告する一流のウイルス対策プログラムがいくつかあります。

優れたウイルス対策ソフトウェアの5つの重要な属性

今日の著名なウイルス対策プログラムのほとんどは、ルートキットを検出するためのこれら5つの注目すべき方法すべてを実行します。

• 署名ベースの分析 –ウイルス対策ソフトウェアは、ログに記録されたファイルをルートキットの既知の署名と比較します。分析では、積極的なポートの使用など、既知のルートキットの特定の動作アクティビティを模倣する動作パターンも探します。
• 傍受検出 – Windowsオペレーティングシステムは、ポインタテーブルを使用して、ルートキットに動作を促すことがわかっているコマンドを実行します。ルートキットは脅威と見なされるものを置き換えたり変更したりしようとするため、システムが存在するようになります。
• マルチソースデータの比較 –ルートキットは、非表示のままにしようとして、標準的な検査で提示される特定のデータを変更する可能性があります。高レベルおよび低レベルのシステムコールの結果が返されると、ルートキットの存在が失われる可能性があります。ソフトウェアは、RAMにロードされたプロセスメモリをハードディスク上のファイルの内容と比較する場合もあります。
• 整合性チェック –すべてのシステムライブラリには、システムが「クリーン」であると見なされたときに作成されたデジタル署名があります。優れたセキュリティソフトウェアは、デジタル署名の作成に使用されたコードの変更についてライブラリをチェックできます。
• レジストリの比較 –ほとんどのウイルス対策ソフトウェアプログラムには、事前に設定されたスケジュールでこれらがあります。クリーンなファイルがクライアントファイルとリアルタイムで比較され、クライアントが要求されていない実行可能ファイル（.exe）であるか、含まれているかが判断されます。

ルートキットスキャンの実行

ルートキットスキャンを実行することは、ルートキット感染を検出するための最良の試みです。ほとんどの場合、オペレーティングシステムは、ルートキットをそれ自体で識別することを信頼できず、その存在を判断するための課題を提示します。ルートキットはマスタースパイであり、ほぼすべてのターンでトラックをカバーし、目に見えない場所に隠れたままにすることができます。

ルートキットウイルス攻撃がマシンで発生したと思われる場合、検出のための適切な戦略は、コンピュータの電源を切り、既知のクリーンなシステムからスキャンを実行することです。マシン内でルートキットを見つける確実な方法は、メモリダンプ分析を使用することです。ルートキットは、マシンのメモリで命令を実行するときに、システムに与える命令を非表示にすることはできません。

マルウェア分析にWinDbgを使用する

Microsoft Windowsは、アプリケーション、ドライバー、またはオペレーティングシステム自体のデバッグスキャンを実行するために使用できる独自の多機能デバッグツールを提供しています。カーネルモードとユーザーモードのコードをデバッグし、クラッシュダンプを分析し、CPUレジスタを調べるのに役立ちます。

一部のWindowsシステムには、WinDbgがすでにバンドルされています。含まれていない場合は、MicrosoftStoreからダウンロードする必要があります。 WinDbg Previewは、WinDbgの最新バージョンであり、視覚的なビジュアル、高速なウィンドウ、完全なスクリプト、および元のコマンドと同じコマンド、拡張機能、ワークフローを提供します。

最低限、WinDbgを使用して、ブルースクリーンオブデス（BSOD）を含むメモリまたはクラッシュダンプを分析できます。結果から、マルウェア攻撃の兆候を探すことができます。 プログラムの1つがマルウェアの存在によって妨げられていると思われる場合、または必要以上のメモリを使用している場合は、ダンプファイルを作成し、WinDbgを使用して分析することができます。

完全なメモリダンプはかなりのディスク容量を消費する可能性があるため、カーネルモードを実行する方がよい場合があります 代わりに、ダンプまたはスモールメモリダンプ。カーネルモードダンプには、クラッシュ時のカーネルによるすべてのメモリ使用量情報が含まれます。スモールメモリダンプには、ドライバやカーネルなどのさまざまなシステムに関する基本情報が含まれますが、比較するとごくわずかです。

スモールメモリダンプは、BSODが発生した理由を分析するのに役立ちます。ルートキットを検出するには、完全バージョンまたはカーネルバージョンの方が役立ちます。

カーネルモードのダンプファイルの作成

カーネルモードのダンプファイルは、次の3つの方法で作成できます。

• コントロールパネルからダンプファイルを有効にして、システムが自動的にクラッシュできるようにします
• コントロールパネルからのダンプファイルを有効にして、システムを強制的にクラッシュさせます
• デバッガツールを使用して作成します

選択肢は3つです。

必要なダンプファイルを実行するには、WinDbgのコマンドウィンドウに次のコマンドを入力するだけです。

ファイル名を置き換えます ダンプファイルの適切な名前と「？」 fで 。 「f」が小文字であることを確認してください。そうでない場合は、別の種類のダンプファイルを作成します。

デバッガーがコースを実行すると（最初のスキャンにはかなりの時間がかかります）、ダンプファイルが作成され、結果を分析できるようになります。

ルートキットの存在を判断するには、揮発性メモリ（RAM）の使用量など、何を探しているのかを理解するには、経験とテストが必要です。初心者にはお勧めしませんが、ライブシステムでマルウェア検出技術をテストすることは可能です。これを行うには、生きているウイルスを誤ってシステムに展開しないように、WinDbgの動作に関する専門知識と深い知識が必要になります。

隠れた敵を発見するための、より安全で初心者に優しい方法があります。

追加のスキャン方法

手動検出と動作分析も、ルートキットを検出するための信頼できる方法です。ルートキットの場所を見つけようとするのは大きな苦痛になる可能性があるため、ルートキット自体をターゲットにする代わりに、ルートキットのような動作を探すことができます。

インストール中に[詳細]または[カスタム]インストールオプションを使用して、ダウンロードしたソフトウェアバンドルでルートキットを探すことができます。探す必要があるのは、詳細にリストされている見慣れないファイルです。これらのファイルは破棄する必要があります。そうしないと、悪意のあるソフトウェアへの参照をオンラインですばやく検索できます。

ファイアウォールとそのログレポートは、ルートキットを検出するための非常に効果的な方法です。ソフトウェアは、ネットワークが精査されているかどうかを通知し、インストール前に認識できないダウンロードや疑わしいダウンロードを隔離する必要があります。

ルートキットがすでにマシン上にあると思われる場合は、ファイアウォールのログレポートを調べて、通常とは異なる動作を探すことができます。

ファイアウォールログレポートの確認

現在のファイアウォールログレポートを確認して、 IP Traffic Spyのようなオープンソースアプリケーションを作成することをお勧めします。 ファイアウォールログフィルタリング機能を備えた、非常に便利なツールです。レポートには、攻撃が発生した場合に確認する必要があるものが表示されます。

スタンドアロンの出力フィルタリングファイアウォールを備えた大規模なネットワークがある場合、IPトラフィックスパイは必要ありません。代わりに、ファイアウォールログを介して、ネットワーク上のすべてのデバイスとワークステーションへのインバウンドパケットとアウトバウンドパケットを確認できるはずです。

自宅でも中小企業でも、ISPが提供するモデムを使用できます。所有している場合は、パーソナルファイアウォールまたはルーターを使用してファイアウォールログを取得できます。同じネットワークに接続されている各デバイスのトラフィックを識別できます。

Windowsファイアウォールログファイルを有効にすることも有益な場合があります。デフォルトでは、ログファイルは無効になっています。つまり、情報やデータは書き込まれません。

• ログファイルを作成するには、Windowsキー+Rを押して実行機能を開きます。 。
• 「wf.msc」と入力します ボックスに入力し、 Enterを押します 。

• [Windowsファイアウォールとセキュリティの強化]ウィンドウで、左側のメニューの[ローカルコンピューターにセキュリティが強化されたWindowsDefenderファイアウォール]を強調表示します。 [アクション]の下の右端のメニューで、[プロパティ]をクリックします 。

• 新しいダイアログウィンドウで、[プライベートプロファイル]タブに移動し、[カスタマイズ]を選択します。 、「ロギング」セクションにあります。

• 新しいウィンドウでは、書き込むログファイルのサイズ、ファイルの送信先、ドロップされたパケットのみをログに記録するか、接続の成功、またはその両方をログに記録するかを選択できます。

• ドロップされたパケットとは、Windowsファイアウォールがユーザーに代わってブロックしたパケットです。
• デフォルトでは、Windowsファイアウォールのログエントリには最後の4 MBのデータのみが保存され、％SystemRoot％\ System32 \ LogFiles \ Firewall \ Pfirewall.logにあります。
• ログのデータ使用量のサイズ制限を増やすと、コンピューターのパフォーマンスに影響を与える可能性があることに注意してください。
• OKを押します 終了したら。
• 次に、[プライベートプロファイル]タブで実行したのと同じ手順を繰り返しますが、今回は[パブリックプロファイル]タブでのみ実行します。
  • ログは、パブリック接続とプライベート接続の両方に対して生成されるようになります。メモ帳などのテキストエディタでファイルを表示したり、スプレッドシートにインポートしたりできます。
  • ログのファイルをIPTrafficSpyなどのデータベースパーサープログラムにエクスポートして、トラフィックをフィルタリングおよび並べ替えて簡単に識別できるようになりました。

ログファイルで通常とは異なるものに注意してください。わずかなシステム障害でも、ルートキットの感染を示している可能性があります。要求の厳しいものを実行していないとき、またはまったく実行していないときに、CPUまたは帯域幅の過剰な使用に沿った何かが、主要な手がかりになる可能性があります。