MS、ハッカーイベント「BlueHat」でrootkitのデモ実演

仮想環境におけるrootkitには多くが注目している。ほかでもなくMicrosoftもそうだが、同社はイベントで著名人を招きディスカッションを行う。

» 2006年10月20日 14時26分 公開
[Ryan Naraine,eWEEK]
eWEEK

 Microsoftが年に2度開催しているハッカーとの交流イベント「BlueHat」が、10月26〜27日の2日間にわたって行われる予定だ。今週末(10月の3週末)には同イベントの開催に先駆けて、大いに物議を醸したデモが行われるという。「PatchGuard」技術を回避するのに利用可能な、仮想マシンベースrootkitの実演だ。

 Microsoftは、侵入攻撃のテストを行う企業、Matasano Securityでプリンシパルを務めるディノ・ダイ・ゾヴィ氏をワシントン州レドモンドの社屋に招く。Intelの「VT-x」仮想化エクステンションを利用し、ハードウェア仮想マシンベースのrootkit「Vitriol」を動作させてもらうことになった。

 イベントでrootkitのデモを行うゾヴィ氏は、脆弱性を悪用した手法や802.11対象のワイヤレス攻撃、OSカーネルのセキュリティなどに関する専門家だ。BlueHatは、ハッキングコミュニティから厳選されたメンバーが集まっており、Microsoftの社員や幹部とセキュリティ問題について意見を交換する場となっている。

 Vitriolのプレゼンテーションは、2006年8月にラスベガスで開催された「Black Hat Briefings」におけるゾヴィ氏の講演を拡張させたものになる。悪質なハッカーがどのようにIntelのVT-x拡張を悪用し、「rootkit hypervisor」をインストールするかの技術的な説明も加えられるという。rootkit hypervisorは、OSを仮想マシン上でひそかに動作させるソフトウェアだ。

 ゾヴィ氏はデモで、Vitriolが動作中のOSをハードウェア仮想マシンへ移行させ、rootkit hypervisorとして自身をインストールする様子を紹介する。OSはこのような悪質なコードにアクセスできなくなるため、隠密性が維持される可能性が高く、マルウェアに対するアクセスもコントロール下になるのだという。

 ゾヴィ氏はみずからのブログに、hypervisorは64ビットシステム上でPatchGuardを回避するのにも利用できると書いている。Microsoftのセキュリティプログラムマネージャー、スティーブン・トゥールーズ氏によると、PatchGuardではデータテーブルの変更は不可能であり、そもそもhypervisorを検知するためのものでもないという。

 トゥールーズ氏がeWEEKに送った電子メールには、「この件に関して、攻撃がカーネル自体の変更までをも意図しているとは(ゾヴィ氏からは)聞いていない。Matasanoにも確認してもらったが、その通りだとの回答を得た。つまり、Vitriolがカーネルのパッチ保護機能を『打ち負かす』といったことは起こらないのである」と記されていた。

 これを受けたゾヴィ氏は、hypervisorがどうやってPatchGuardを回避するのか、もしくはそもそも回避できるのかどうかをめぐって「誤解」が生じていると述べた。VitriolはPatchGuard自体(に存在する脆弱性)を攻撃するものではないと強調している。

 「hypervisorが、OSが稼働するすべての領域をコントロールし、内部で動作しているOSを偽り、ゲスト仮想マシン上のセキュリティ防御機能を無効化する様を見せようとしているに過ぎない」(ゾヴィ氏)

 Microsoftの関係者はBlueHatの開催予定についてコメントを発表していないが、内部情報に詳しい消息筋によると、第4回目の開催となる今秋のBlueHatには、OSカーネルの強化やデータベースセキュリティ、アプリケーション脅威モデル化などを専門とする著名な研究者が参加するという。

 またMicrosoftは、同イベントの講演を任せられる「新たな戦力」も探しているようだ。2006年3月に開催された第3回目のBlueHatでプレゼンテーションを行った研究者らは、今回は聴衆として招かれている。

 2006年春期の同イベントでは、データベースセキュリティ専門家のデビッド・リッチフィールド氏およびアレキサンダー・コーンブラスト氏、Webアプリケーションセキュリティ研究者のカレブ・シーマ氏、Metasploitを創設したH.D.ムーア氏、リバースエンジニアリング研究で名高いハルバー・フレーク氏などが登壇した。

 ムーア氏、フレーク氏、コーンバースト氏は、デモには出席しないと話している。

 ステルス型マルウェア研究者のジョアンナ・ルトコウスカ氏は、今年のBlack Hatカンファレンスで、ゾヴィ氏による仮想マシンベースrootkitのプレゼンテーションに先行する形で「Blue Pill」と呼ばれる新技術を発表していた。Blue Pillは、Windows Vista x64システムでも「100%検知不可能」なマルウェアを作成する技術である。

 また、ルトコウスカ氏が発表したBlue Pillのプロトタイプでは、AMDの「SVM/Pacifica」仮想化技術を用いており、下層のホストOSを完全に支配する超軽量型のhypervisorを生成することができる。

 ルトコウスカ氏は、Windows Vistaにおけるデバイスドライバの署名要求機能を回避する方法も披露しているが、MicrosoftのBlueHatには招待されなかったとeWEEKに明かした。

 一方で、Microsoft自身のCybersecurity and Systems Management Research Groupも、「SubVirt」というコンセプト実証用rootkitを開発している。SubVirtは、既知のセキュリティ脆弱性を悪用し、WindowsおよびLinux OSより下層にある仮想マシンモニタ(Virtual Machine Monitor:VMM)を無効化することができるものだ。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ