security

ルートキットの検出方法

 

ルートキットの代表的な検出方法の種類を紹介します。

 

ルートキットとは

 

ルートキットは攻撃者の悪意あるアクティビティ、およびそれらの存在を隠すプログラムです。

一般的なルートキットはバックドアプログラム・DDoSプログラム・パケットスニファ・ログワイプユーティリティ・IRCボットなどで構成されています。

 

検出方法

 

整合性ベースの検出 ファイルシステム、ブートレコードまたはメモリのスナップショットを既知の信頼できるベースラインと比較します。
シグネチャベースの検出 このテクニックはすべてのシステムプロセス及び実行可能ファイルの特性を既知のルートキットのフィンがプリントのデータベースと比較します。
ヒューリスティック・振る舞いベースの検出 システムの通常のアクティビティまたは動作から逸脱している場合はルートキットの存在を示している場合があります
ランタイム実行パスのプロファイリング このテクニックはルートキットへの感染前後のすべてのシステムプロセスと実行可能ファイルのランタイム実行パスを比較します
クロスレビューベースの検出 コンピュータシステムの主要な要素(システムファイル・プロセス・レジストリキーなど)を列挙しデータセット同士を比較します。

 

-security

© 2021 ストロテクトNote