ルートキットは、特に悪質なマルウェアの一種です。オペレーティングシステムに入ると、「通常の」マルウェア感染が読み込まれます。これはまだ悪い状況ですが、まともなアンチウイルスであればマルウェアを除去し、システムをクリーンにしてくれるはずです。

その代わり、ルートキットはシステムのファームウェアにインストールされ、システムを再起動するたびに悪意のあるロードがインストールされるようにします。

セキュリティ研究者は、LoJaxと呼ばれる新しいルートキットの亜種を野生で発見しました。このルートキットは何が違うのでしょうか？まあ、古いBIOSベースのシステムではなく、最新のUEFIベースのシステムに感染することができます。それは困りますね。

lojax uefi rootkit

ESET Researchは、新たに発見されたルートキット「LoJax」による同名の商用ソフトウェアの再利用に成功したことを詳述した研究論文を発表しました（ルートキットとは何か？）(研究チームはこのマルウェアを「LoJax」と命名しましたが、実際のソフトは「LoJack」と名付けられています）。

より大きな脅威は、LoJaxがWindowsの完全な再インストールやハードディスクの交換にさえ耐えられることです。

マルウェアは、UEFIファームウェアのブートシステムを攻撃することで生き残る。その他のルートキットは、そのコーディングと攻撃者の意図によって、ドライバやブートセクタに隠されている場合があります。loJaxは、システムのファームウェアにフックし、OSがロードされる前にシステムを再感染させます。

今のところ、LoJaxマルウェアを完全に除去する唯一の方法は、疑わしいシステムに新しいファームウェアを流すことであることが知られています。ファームウェアのフラッシュは、ほとんどのユーザーが経験したことがないものです。以前より簡単になりましたが、ファームウェアのフラッシュがうまくいかず、対象マシンがブロックされる可能性があるという重要な問題が残っています。

lojaxルートキットはどのように動作するのですか？

LoJaxは、Absolute Software社の盗難防止ソフトウェア「LoJack」のリパッケージ版を使用しています。オリジナルのツールは、システムワイプやハードディスク交換のプロセスを通じて永続的であることを意味し、ライセンシーは盗まれたデバイスを追跡することができます。このツールがコンピュータの奥深くに入り込む理由は極めて論理的であり、LoJackはまさにこのような性質から盗難防止製品として人気を博しているのです。

米国では盗難にあったノートパソコンの97％が回収されないと言われており、このような高価な投資に対してさらなる保護を求めるのは理解できることです。

LoJaxは、カーネルドライバーであるRwDrv.sysを使用して、BIOS/UEFI設定にアクセスします。カーネルドライバは、低レベルのコンピュータ設定（通常はアクセスできないビット）を読み取り、分析するための正規のツールであるRWEveryにバンドルされています。LoJaxルートキットの感染プロセスでは、他に3つのツールが使用されています。

• 最初のツールは、低レベルのシステム設定に関する情報（rweethingからコピーされたもの）をテキストファイルにダンプします。悪意のあるファームウェアの更新に対するシステムの保護を回避するには、システムに関する知識が必要です。
• 2つ目のツールは、"SPIフラッシュメモリの内容を読み出して、システムファームウェアのイメージをファイルに保存する "ものです。SPIフラッシュメモリは、UEFI/BIOSをホストしています。
• 3番目のツールは、ファームウェアイメージに悪意のあるモジュールを追加し、SPIフラッシュメモリに書き戻す。

LoJaxがSPIフラッシュメモリが保護されていることを認識した場合、既知の脆弱性（CVE-2014-8273）を利用してアクセスし、そのまま、メモリにルートキットを書き込みます。

lojaxはどこから来たのか？

ESETの調査チームは、LoJaxは悪名高いロシアのハッキンググループFancy Bear/Sednit/Strontium/APT28の仕業であると見ています。このハッキンググループは、近年、いくつかの大規模な攻撃を行っています。

LoJaxは、Sednit社のバックドアマルウェアであるSedUploaderと同じコマンド＆コントロールサーバを使用しています。また、loJaxは、XAgent（別のバックドアツール）やXiannel（セキュア・バックドアツール）などの他のSednitマルウェアへのリンクと追跡も行っています。****ツール)を使用します。

さらに、ESETの調査によると、マルウェアの運営者は、"LoJaxマルウェアの異なるコンポーネントを使用して、バルカン半島および中東欧の多くの**組織を標的としていた "ことが判明しました。

lojaxは最初のuefi rootkitではない

Lojaxのニュースは、確かにセキュリティコミュニティの注目を集めました。しかし、UEFIルートキットはこれが初めてではありません。ハッカーチーム（悪意のあるグループ、念のため）は、2015年の時点で、UEFI/BIOSルートキットを使用して、ターゲットシステムにリモートコントロールのシステムエージェントをインストールしています。

Hacking Team UEFI rootkitとLoJaxの主な違いは、配信方法でした。当時、セキュリティ研究者は、ハッキングチームがファームウェアレベルの感染をインストールするためには、システムへの物理的なアクセスが必要だと考えていました。もちろん、誰かがあなたのコンピューターに直接アクセスできれば、やりたい放題です。それでも、UEFIルートキットは特に厄介でした。

あなたのシステムはlojaxの危険にさらされていませんか？

最新のUEFIベースのシステムは、古いBIOSベースのシステムに対していくつかの明確な利点を持っています。

まず、比較的新しいということ。新しいハードウェアは究極の目標ではありませんが、多くのコンピューティングタスクを容易にしてくれます。

第二に、UEFIファームウェアは、セキュリティ機能も充実しています。特に注目すべきは、署名されたデジタル署名のあるプログラムしか実行できないセキュアブートです。

このオプションがオフのときにルートキットに遭遇すると、不愉快な思いをすることになります。また、セキュアブートは、現在のランサムウェアの時代には特に有効なツールです。極めて危険なランサムウェア「NotPetya」へのSecure Bootの対応については、以下の動画をご覧ください。

セキュアブートがオフの場合、NotPetyaはターゲットシステム上のすべてのコンテンツを暗号化します。

ロージャックスは全く別物です。これまでの報告とは異なり、セキュアブートでもLoJaxは停止しない。UEFIファームウェアを最新の状態に保つことが非常に重要である。また、専用のアンチルートキット・ツールもありますが、LoJaxを防御できるかどうかは定かではありません。

しかし、このレベルの機能を持つ多くの脅威と同様に、あなたのコンピュータが主なターゲットとなります。アドバンストマルウェアは、主に高度なターゲットに狙いを定めています。また、LoJaxは、国家的な脅威行為者が関与している兆候を示していますが、もう一つの可能性は、LoJaxが短期的にはあなたに影響を与えないということです。とはいえ、マルウェアが世の中にフィルターとして入り込む方法はある。もし、サイバー犯罪者がLoJaxの成功例を発見した場合、通常のマルウェア攻撃でより一般的になる可能性があります。

いつものように、システムを最新の状態に保つことは、システムを保護するための最良の方法の一つです。