脅威に対応するには、その脅威の技術について知ることです
脅威への対策

情報データベース
  ホーム
  DNSブラックリスト
  URL ブラックリスト
  アプリケーション
  スパイウェア

対策ソフトウェア
  ITセキュリティ製品マップ
  スパム/迷惑メール対策
  スパイウェア対策
  ウィルス対策
  トロイの木馬対策
  Rootkit対策
  脆弱性監査
  データ保護
  バックアップ
  認証システム

脅威について
  ペスト
  アドウェア
  スパイウェア
  キーロガー
  ウィルス
  ワーム
  ハイジャッカ
  フィッシング/ファーミング
  スパム
  BHO
  トロイの木馬
  BOT
  Rootkit

サポート
  お問い合わせ

関連サイト

 
技術ノート
 
ADS (Alternate Data Streams): 隠れた脅威
 
NTFSの隠された互換機能であるADS(Alternate Data Streams)を利用したスパイウェア、トロイの木馬やRootkitの脅威についてご存知でしょうか?

ここでは、ADSについて具体的に理解し、システム管理者やエンドユーザがどのようにこうした脅威に対応できるかについて紹介します。

ADSは、Windowsシステムで最もポピュラーなステルス機能で、ファイル システムからその存在を完全に隠すことができます。こうした機能をRootkitやハッカ ツールが利用することで、システム管理者に知られないまま、システムにツールをインストールし、そのシステムを踏み台として目的のシステムへの侵入を目論んだり、システムからデータ情報を盗んだりすることができます。

ADSはすべてのバージョンのNTFSで利用出来、プログラム自身の機能性、サイズに影響しないで、また伝統的なファイル参照ユーティリティ Dirやエクスプローラで表示されることのなくファイルデータを既存のファイルの中に分岐させることができます。 ADS機能はファイル情報が時々別々のリソースに分岐するMacintosh Hierarchical File System(HFS)との互換性を考慮しています。Alternate Data Streamsは属性や一時記憶領域などのファイル情報を保存するためネイティブのWindowsオペレーティングシステムを含むさまざまなプログラムで合法的に使用されるようになりました。

Alternate Data Streamsを利用することは特にハッカー技術も必要なく驚くほど簡単です。"type"など一般的な DOSコマンドを利用してADSを作成することができます。これらのコマンドをリダイレクト [>] やコロン [:] などと組み合わせてあるファイルを他のファイルに分岐させます。

例えば: 以下のコマンドを見てください。

type c:\notepad.exe > c:\windows\system32\calc.exe:notpad.exe

これは、電卓プログラムをADS notepad.exeで分岐します。

驚くほどに、ADSがあるファイルは、コマンドラインやWindowsエクスプローラのようなネイティブのファイル参照ツールで検出することは不可能です。上記の例では、calc.exeのファイルサイズは、notepad.exe の66Kに関係なく元のサイズ(約114K)のままです。ファイルが変更されたことが分かる唯一の情報は、ダイムスタンプです。

一旦準備されると、ADSは伝統的なType コマンド、start、またはVBやPerlなどの標準的なスクリプティング言語で実行することができます。実行されると、ADS実行可能ファイルは、元のファイルとして実行されます。このためWindowsタスク マネージャのようなプロセスビューアではプロセスを検出することはできません。この方法を利用することで、ファイルを隠すだけでなく、実行も正統なプロセスの実行として隠すことができます。

NTFSを利用している場合、ADS隠しファイルに対してシステムを保護することは不可能です。Alternate Data Streams の利用を無効化することは現在できません。また、この機能を既にユーザがアクセスしたファイル レベルで制限する方法もありません。フリーウェア プログラム lads.exe ( Frank Heyne氏による) ( www.heysoft.de ) や crucialADS by CrucialSecurityを使って手動でファイルにADSが存在するかどうかを見つけることができます。その他の方法として、ファイルをADSをサポートしていない(FAT32など)他のファイル システムに移動することでADSを破壊することができます。

ファイルをADSから保護するその他の方法としては、ファイルのチェックサムを作成し、定期的に比較することでインジェクションを検知する方法があります。

ADSインジェクションを検出することができるセキュリティ対策ソフトウェアには以下のものがあります。

Emsisoft a-squared Anti-Malware(トロイの木馬対策)

Greatis Software UnhackMe (Rootkit対策)

ADS の例
 
ADSをより理解するために、以下の手順に沿ってご自身でADSを作成して見ましょう。

手順 1 テストのためのフォルダ ADStestをC:\ドライブ(NTFS)に作成します。ここにC:\Windows\System32フォルダからcalc.exe (電卓)をコピーしておきます。NOTEPAD.EXEもC:\Windowsフォルダからコピーします。sample.txtは任意のテキストファイルです。作成しておいてください。

エクスプローラでこのフォルダを開くと以下のように見えます。calc.exeの日付 2004/08/06 21:00とサイズ122KBを確認します、

手順 2 Alternate Data Streamとしてnotepad.exeをcalc.exeに追加します。DOSボックスを開き、C:\ADStestフォルダに移動して、以下のコマンドをタイプします。
type notepad.exe>calc.exe:notepad.exe





手順 3 Dir コマンドを使って、ADSの追加されたcalc.exeのサイズと日付を見てみましょう。サイズは変わっていないことが分かります。次にNOTEPAD.EXEを実行します。実行するには、標準のコマンドを以下のようにタイプします。必ずフルパス名で指定します。
start c:\ADStest\calc.exe:NOTEPAD.EXE



手順 4 タスクマネージャでプロセスを確認してみましょう。NOTEPAD.EXEが、別の名前clac.exeとして表示されていることが分かります。

手順 5 準備した任意のテキスト ファイルsample.txtもcalc.exeにADSとして追加してみましょう。結果についてはご自身で確認して見てください。


 



2006 Copyrights All rights reserved. nextEDGE Technology K.K.
2006.06.26 更新

 

 
2006, 2008 Copyright nextEDGE Technology, Inc. All Right Reserved.