一般論になってしまい恐縮ですが、回答が付きにくいようですので…
zanjibarさんがチェックしたいと思っておられる「Emdivi の挙動」って、具体的にいうとどのようなものでしょうか?
Emdivi の特有の挙動 というものが明確になっていればチェックツールを作成することも可能だとは思いますが、この手のいわゆる「ルートキット」って、次々と亜種が登場してきますし、時間を掛けて特定のルートキットに対する検知ツールを作成してもあまり意味がありません。完成した頃には別のルートキットが猛威を振るってしまうというのが現実です。
なので、すでに zanjibarさんが調査されたように 不審な挙動(通信)を監視するツール という形のものしか見つからないのだと思います。
そもそも、「挙動(通信)」の監視だけで、それが Emdivi によるものかどうかを特定するのは極めて難しいです。
→ こちら を参照
あらゆるルートキット検出プログラムには、それが疑わしいシステム上で動作する限り、それにつきものの制約がある。それは、ルートキットはシステム上の全てのプログラムが頼っているライブラリやツールの多くを修正してしまうプログラムだということである。
ですから、正常な通信なのか、それとも乗っ取られたものなのかを見分けるのは非常に困難で、普段使用しない「特定のポート」が使われているとか、「パケットの流量」が異常に多いなどの疑わしい通信パターンでしか気づくことができません。
また逆に言えば、そのような目的には一般的な侵入検知システム( IDS)にEmdivi 検出用のパターンを追加すれば事足りる訳です。
もっとも、検出に有効なパターンも刻一刻と変化してしまう可能性があるので、セキュリティーの分野に絶対という言葉はもはや通用しません。(全く恐ろしいことです…)
また、他のバックドアをダウンロードしたら自らを削除し活動の痕跡を消してしまうものも多いので、検出はさらに難しいですし、リモートから「人間が操作」するタイプもあるため、毎回同じ挙動をするとも限りません。
別の問題としては、本当は正常な通信(挙動)なのにルートキットに感染していると判定されてしまう、いわゆる誤検出があります。業務遂行上は、これも大きな脅威です。
ですので、現在の技術では、信頼性の高い(定評のある)複数の検出・駆除ツールで周期的にチェックするしか方法がないのだと思います。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/09/10 06:43