Articles - Malware |
RootkitによりRATサーバの存在が隠蔽される
Rootkitを実行後にRATサーバがインストールされたコンピュータでRATサーバを見つけようとしても、図20のように、そのほとんどが隠蔽されているため検出が困難になる。ここでは、RATサーバの存在のみを隠蔽した例で示しているが、実際にはその他、クラッカーの追加したツールなども同様に検出されないよう隠蔽される。
■図20:ファイルの存在やレジストリのスタートアップエントリなども見えなくなる。
※レジストリ:上が隠蔽前、下がRootkit実行後
※ファイル:上が隠蔽前、下がRootkit実行後
Rootkitの選択が可能なRATも増えているが…
今回は、あえて古いRATをアンチウイルスソフトで検出されないよう改変した例で解説してきたが、RATによっては、Rootkitオプションの選択可能なものが多くなってきており、またRAT自体の機能も充実してきている。たとえば、図21のようにパケットアナライザやレジストリエディタ、サービスマネージャ、Socksプロキシサーバ、ActiveXスタートアップキーのランダム生成など新たにツールを追加しなくとも、RATサーバをインストールするだけでクラッカーの要求を満たし、かつ存在を隠蔽することが可能になるわけだ。
■図21:RATではRookitのオプションやパケットアナライザやレジストリエディタ、サービスマネージャなど機能面も充実している。
・サーバの作成画面
・パケットアナライザ
・サービスマネージャ