カーネルモードのルートキット検出におけるセキュアブートの有効性

Question

非常に多くの新しいパッチとアップデートがあるため、セキュアブートはカーネルモードのルートキットの検出にどのように影響しますか？

AstroDan · Accepted Answer

セキュアブートは、連携して動作するいくつかのコンポーネントで構成されています（ https://technet.Microsoft.com/en-us/windows/dn168167.aspx は、さまざまなコンポーネントがどのように動作するかについての私のソースでした）。カーネルモード保護のセキュリティは（ブートローダーから）垂直方向に機能するため、下位レベルが完全に機能する必要があります。

セキュアブート
- PCの電源がオンになると、UEFI Biosはブートローダーを検出します。 BIOSは、ブートローダーが信頼できる証明書を使用して署名されているか、ユーザーがブートローダーのデジタル署名を承認した場合にのみ、ブートローダーを実行します。これにより、ブートローダーが理論的に停止され、変更された/非公式のブートローダーが防止されます。ただし、これは、セキュリティが正しく実装されている場合にのみ機能します。少しグーグルで、プログラムがセキュアブートをバイパスできるようにする方法のいくつかのレポートを見つけます。
  これらの記事の評価は、演習として読者に残しておきます。さらに、いくつかのマザーボードのUEFI実装のバグを参照する記事があるようです。これらのエクスプロイトが存在すると想定すると、カーネルモードのルートキット保護を含む、すべてのセキュアブート手順が危険にさらされます。
トラステッドブート
- 次に、ブートローダーはカーネルのデジタル署名を検証します。次に、カーネルはWindowsの起動プロセスを確認します。これには、カーネルドライバー、スタートアップファイル、ELAMシステムが含まれます。これらのファイルのいずれかが破損している場合、コンピューターは自動的にそれらの修復/交換を試みます。これが失敗した場合、コンピューターは起動を拒否します。ただし、これはブートローダーが保護されていることを前提としています。そのステップが危険にさらされた場合、これもバイパスされる可能性があります。
早期起動アンチマルウェア（ELAM）
- ELAMは、マイクロソフト以外のブートドライバーが読み込まれる前にウイルス対策ソフトウェアを起動します。 ELAMが起動すると、ロード時にドライバーがスキャンされます。これにより、理論的には、マルウェアに感染したドライバが、通常は起動後まで読み込まれないアンチウイルスソフトウェアから身を隠すことが防止されます。 ELAMは、Microsoft（Windows Defender、Endpointなど）またはMicrosoft以外のマルウェア対策ドライバーをロードできます。ドライバーにマルウェアが含まれている場合、またはドライバーが信頼されていない場合、ELAMはドライバーの読み込みを阻止します。これは、新しいエクスプロイトでは保証されていない、ドライバーのエクスプロイトとマルウェアを検出するウイルス対策ソフトウェアを信頼するまで安全です。
測定ブーツ
- メジャードブートはエクスプロイトを防止するのではなく、エクスプロイトの検出に役立ちます。メジャードブートの使用Windowsは、ブートプロセスに関するログを安全なサーバーに送信します。これには、変更を検出できるようにするブートファイルのハッシュが含まれます。これを機能させるには、次のことを行う必要があります。安全なサーバーをセットアップし、b。起動ログをアクティブに監視します。

これらの潜在的な問題は、セキュアブートが機能しないことを意味するものではありません。機能しているルートキットやUEFIシステムのブートキットへの言及はほとんどありませんでした。さらに、Microsoft Security Intelligence Reports 18または19（ https://www.Microsoft.com/security/sir/default.aspx ）は、ルートキットやブートキットを報告しません。もちろん、セキュアブートがこれらの問題を修正したという報告には、彼らは何の主張もしていません。