8つき2にち〜7にちにべいこくラスベガスでかいさいされたセキュリティ・コンファレンス「BlackHat」では、さくねんとどうよう、ルートキットにかんするセッションがせいきょうであった。ここでは、そのうちのいくつかをしょうかいしよう。
【かんれんがぞうをふくむしょうさいきじ】 ClearHatConsultingのシェリ・スパークス(SherriSparks)しゃちょうとショーン・エンブルトン(ShawnEmbleton)CTOは8つき6にち、NIC(ネットワーク・インタフェース・カード)チップセット・ベースのルートキット「DeeperDoor」をどのようにかいはつしたかをせつめいした。DeeperDoorは、こうげきしゃがひそかにトラフィックをかくしたり、かんししたりするためにりようできるとされる。
Sparksしによると、DeeperDoorは、ポーランドのけんきゅうしゃジョアンナ・ルトコウスカ(JoannaRutkowska)しがかいはつしたルートキット「DeepDoor」とはことなり、OSにいぞんしない。こうげきしゃのかんてんでみると、どちらのルートキットにもいっちょういったんがある。ただしDeeperDoorIntel8255xチップセット・ルートキットのほうは、「チップセット、マザーボード・チップセット、LANコントローラじょうでかんぜんにどうさする」とSparksしはかたった。
SparksしとEmbletonしは、DeeperDoorがどのようにロードされるかをしめすデモをおこない、「われわれのけんきゅうにより、DeeperDoorは、ソフトウェア・ベースのファイアウォールやIPS、たとえばSnortIDS、ZoneAlarm、WindowsXPファイアウォールなどではけんしゅつできないことがわかった」とのべた。さらにりょうしは、ふせいなアウトバウンド・トラフィックをそうしんするDeeperDoorがZoneAlarmでけんしゅつされないことをしめすデモもおこなった。
おなじく6にちにおこなわれたルートキットにかんするもう1つのセッションで、セキュリティ・ベンダーのCoreSecurityTechnologiesのけんきゅうしゃ、アリエル・フトランスキー(ArielFutoransky)しは、どうしゃがCiscoIOSルートキット「DIK」(daIOSrootkit)のかいはつをどのようにせいこうさせたかをくわしくせつめいした。
DIKは、CiscoIOSルータをきけんにさらすけいりょうルートキット。どうOSのイメージにかんせんし、ネットワークにたいしてひそかにふせいなそうさをおこなうあくいあるコードをのこすとどうしはせつめいし、そのかんたんなデモもおこなった。
CiscoIOSルートキットがじっさいにしこまれていたじれいはしられていないが、けんきゅうにより、それがかのうであることはわかっていると、Futoranskyしはかたった。「DIKからじえいできるのかどうかについては、かんたんなこたえはない。だが、あんごうかツールをりようすれば、ルートキットこうげきのこんせきをかくすのはむずかしくなるだろう」(Futoranskyし)
(EllenMessmer/NetworkWorldべいこくばん)
【かんれんきじ】
[BlackHat]DNSぜいじゃくせいもんだい、はっけんしゃがけっかんのしょうさいをついにこうひょう――こうげきほうもたすうしょうかいシスコのルータがマルウェアのひょうてきに――セキュリティせんもんかがルートキットをかいはつべいこくのセキュリティけんきゅうしゃ、しんタイプのルートキットをBlackHatではっぴょうへマイクロソフト、ルートキットけんちベンダーのコモクをばいしゅう
