Trusted Design
A bootkit is a malware variant that modifies the boot sectors of a hard drive, including the Master Boot Record (MBR) and Volume Boot Record (VBR). (Citation: MTrends 2016)
Adversaries may use bootkits to persist on systems at a layer below the operating system, which may make it difficult to perform full remediation unless an organization suspects one was used and can act accordingly.
The MBR is the section of disk that is first loaded after completing hardware initialization by the BIOS. It is the location of the boot loader. An adversary who has raw access to the boot drive may overwrite this area, diverting execution during startup from the normal boot loader to adversary code. (Citation: Lau 2011)
The MBR passes control of the boot process to the VBR. Similar to the case of MBR, an adversary who has raw access to the boot drive may overwrite the VBR to divert execution during startup to adversary code.
T1067は「Bootkit(ブートキット)」として定義されていた非常に強力かつ高度な永続化手法です。 この手法は、ハードディスクのブートセクタ(起動用領域)やマスターブートレコード(MBR)に悪意のあるコードを書き込み、WindowsなどのOSが起動する「前」の段階でマルウェアを動作させるものです。
この手法で攻撃者は、「OSのセキュリティ機能すら完全に無効化する、究極の隠蔽と永続化」を実現します。
OS起動前の支配:
WindowsなどのOSが立ち上がり、アンチウイルスやEDRなどのセキュリティソフトが起動するより「前」の段階でマルウェアをメモリにロードします。
防御の完全な無効化:
OSのカーネル(心臓部)を改ざんして起動できるため、カーネルレベルのセキュリティ保護機能やデジタル署名の検証を強制的にバイパスできます。
極めて高い永続性:
OSを再インストールしたり、ハードディスク内のファイルをすべて削除したりしても、ブートセクタ(MBR)そのものを修正・上書きしない限り、マルウェアは生き残り続けます。
ブートセクタは通常、一般のプログラムからは保護されているため、攻撃者は事前に管理者権限やSYSTEM権限(あるいは専用の脆弱性)を確保した上で実行します。
ターゲット領域の特定:
ハードディスクの先頭セクタにある MBR(マスターブートレコード) や、各パーティションの VBR(ボリュームブートレコード) の位置を特定します。
コードの書き込み:
低レベルのディスク書き込みAPIなどを悪用し、正規のブートコードをバックアップしつつ、攻撃者の「第1段階ローダー(マルウェア)」に置き換えます。
再起動の待機:
PCが再起動されるのを待ちます(あるいは強制終了などで再起動を誘発します)。
起動プロセスの横取り:
BIOSがディスクを読み込む際、まず改ざんされたMBRが実行されます。
bootmgr など)を呼び出します。これにより、OSは「マルウェアがメモリ上に潜伏した状態」で何事もなかったかのように立ち上がります。OSが起動した後は検知が非常に困難なため、「OS起動前のハードウェア保護」が最大の防御策となります。
Secure Boot(セキュアブート)の有効化:
UEFI環境でセキュアブートを有効にします。これにより、デジタル署名のない(改ざんされた)ブートローダーやカーネルの実行をハードウェアが拒否します。
ディスクへの直接アクセスの制限:
Windowsの「Exploit Protection」などを活用し、ユーザーモードのプロセスが未加工のディスクセクタ(\\.\PhysicalDrive0 など)に直接データを書き込むのをブロックします。
エンドポイントセキュリティでのMBR保護:
一部のアンチウイルスやEDRには、MBR領域への書き込み要求を検知・遮断する専用の保護機能が備わっています。
「OSの下」で動く脅威:
OSのAPI(ファイルシステムなど)を介さずに動作するため、OS上の調査ツールからマルウェアのファイルやプロセスが「一切見えない(ステルス状態)」になります。
技術のシフト(MBRからUEFIへ):
現代のPCは古い「MBR」から、より強固な「UEFIファームウェア」へと移行しています。これに伴い、攻撃者もMBRを狙うBootkitから、マザーボードのフラッシュメモリ自体を書き換える「UEFI Rootkit(T1542.001)」へと手法を進化させています。
CWE-693: Protection Mechanism Failure:
整合性チェックを迂回され、システムの防御機構が機能不全に陥る不備。
CWE-732: Incorrect Permission Assignment for Critical Resource:
本来厳重に保護されるべきブートセクタへのアクセス権限管理の不備。
国家支援型のサイバースパイ活動や、極めて破壊的なサイバー兵器によく見られます。
NotPetya / BadRabbit:
2017年に世界中で猛威を振るった破壊型マルウェア。ランサムウェアを装いつつ、実際にはMBRを暗号化・破壊(T1067を悪用)し、二度とOSが起動できないようにしました。
FinFisher (FinSpy):
著名な政府向け監視ソフトウェア。検出を回避して標的の端末に長期潜伏するため、Bootkitの技術を使用してOS起動前に自身のコンポーネントをロードさせていました。
もし端末が「青い画面(BSOD)のループから抜け出せない」「起動時に見慣れないメッセージ(Disk Error等)が出る」といった状態になり、OSのクリーンインストールすら失敗する場合、ブートキットによってディスクの根本が汚染されている可能性があります。その場合は、物理ディスク全体の完全なローレベルフォーマット(ワイプ)を行う必要があります。