Endpoint Protection - Symantec Enterprise最新バージョンの Backdoor.Proxybox には、「rxsupply」という低レベルのファイルシステムドライバがバンドルされていました。この悪質なドライバは、侵入先のコンピュータで滞留時間を少しでも長くするために、マルウェアが使うファイルへのアクセスを拒否するように設計されています。このドライバの機能と、カーネルのファイルシステムへのアクセスをフックする仕組みについてまとめたのが次の図です。 図 1. 悪質なファイルシステムフィルタが仕掛けられたファイルシステムのデバイススタック 悪質なドライバ rxsupply は、システムの起動時に Windows によってサービスとしてロードされます。ドライバのエントリポイントは次のような手順を実行して、ファイルシステムフィルタとして機能します。 まず、独自の IRP フィルタ関数を設定します。 図 2. ドライバのエントリ: IRP ハン
