勉強前イメージ
アンドロイドのなんかやったようなきがする
気のせい?
調査
rootkit とは
不正アクセスに成功した攻撃者が侵入した後
管理者に気づかれずに遠隔操作するためのツールを指します。
例えば、遠隔操作の際にログを残さないようにするものだったり
他のマルウェアが刺入して攻撃するのを補助するようなツールも含まれています。
これらは一般的なセキュリティソフトでも検知が難しい。
理由としてはrootkit自体が自身の存在を隠蔽する機能を持っているので検出が困難といわてています。
rootkitは ダークウェブ で取引されて
悪意のある攻撃者にわかっていると言われています。
rootkitのツール
rootkitには以下のようなツールが含まれています。
- ログ改ざんツール
侵入を隠蔽、rootkit自体の存在を隠して検知をさせなくする
- バックドア生成ツール
rootkitの侵入経路を塞がれたとしても、再度侵入できるように裏口(バックドア)を仕掛ける
- トラフィック監視ツール
ネットワークを介したデータを盗聴する
- キーロガーツール
入力データを盗み見て機密情報を抽出
rootkitのモード
rootkitには以下のようなモードがあります。
- ユーザモード
アプリケーションの乗っ取りやメモリの上書きを行う
- カーネルモード
これに感染してしまうと全て完全に自由に制御されてしまう
勉強後イメージ
全然違うやん・・・・
しかもrootkitでいろいろ仕掛けられると、もうすべて見られてるようなものか