Netfilter
Windowsにはいろいろな安全化のための機構が搭載されています。
たとえばこういうものです。
- カーネルモードで実行されるコードにはすべてMicrosoft証明書による署名が必要
- Microsoft証明書のないドライバーはインストールできない
こういう取り組みにより、通常はOSが安全に利用することができるようになっています。
そんななか、今回Netfilterというドライバーが確認されています。
Netfilterは中国にあるC2サーバとの通信が確認されているWindows用のrootkitです。
こんな機能があります。
- IPリダイレクト機能がある
- マルウェアの自分自身を更新する
これによって、自分の初期の仕事が終わったら、キーロガーなどの別の用途に切り替えて利用継続できる - ルート証明書を受信し、感染環境の正規の証明書置き場に配置する
- 感染環境の構成情報を収集する
このrootkitは現時点ではまだNationStateなアクターには関連付けられていません。
現時点ではこのrootkitは中国のゲームの領域での展開が確認されているのみで、まだ企業環境への展開は確認されていません。
だから安心できる、ということにはなりませんが。
今回のこのrootkitはアクターがWindowsハードウェア互換性プログラム(WHCP)を介して認証のためにドライバーを提出したものでした。
現在その提出に使用されたアカウントは一時停止されており、同様な手口で他に申請がなされているかについて調査が行われています。
今回の件でMicrosoftの署名手続きには改善の余地があることが確認されたこととなります。
Microsoftは、パートナーアクセスポリシーと検証および署名プロセスを改善する予定です。
ちなみに、この脅威は単独で脅威となるものではなく、この脅威が脅威となるためには、このrootkitドライバーが展開される前の段階ですでに管理者権限の取得が実現されている必要があります。
アクター側は悪意のある要素を複数用意し、それらを綿密に組み合わせて攻撃行為を実施します。
防御側のできることの一つ一つは小さいものかもしれません。
しかし、防御側である私たちは、彼らと同等かあるいはそれ以上に、やるべきことをひとつひとつ積み上げていく必要があるということかもしれません。
今日もパッチを適用します。
参考記事(外部リンク):Microsoft signed a malicious Netfilter rootkit
www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit
