執筆者:Edmund Brumaghin、Yves Younan
更新:2016 年 10 月 20 日 - MBRFilter は、感染の過程でマルウェアによって簡単に無効化されたり、削除されたりしないように、簡単に削除できない構造になっています。十分なテストを行ってから、実稼働環境に実装してください。
サマリー
ランサムウェアは業界で急増してきています。システムが一度感染してしまうと、復号ツールが公的にリリースされている場合を除いて、ほとんどの場合、暗号化されたファイルを取得する簡単な方法がありません。定期的なシステムのバックアップの作成とメンテナンスに加えて、最初のエンドポイントの感染を防ぐ取り組みとして、複数階層型多層防御ネットワーク アーキテクチャに重点を置くことがますます重要になります。多くの場合、これは簡単なことではありません。脅威を取り巻く状況は進化しており、技能レベルの異なるさまざまな攻撃者が新しいランサムウェア ファミリを日々開発および展開しているためです。
多くのランサムウェア ファミリが標的システムのすべてまたは一部のファイルの暗号化に重点を置く一方、マスター ブート レコード(MBR )のコンテンツを上書きすることでシステムを強制的にリブートする Petya のようなランサムウェアもあります。この場合、感染したシステムのハード ドライブのマスター ファイル テーブル(MFT)が暗号化されるため、ユーザはファイルの複合に必要な暗号鍵を取得するために攻撃者に金銭を支払うことを余儀なくされます。
MBR の変更を試みるランサムウェアに対抗するため、Talos は MBRFilter という新しいツールをオープン ソース コミュニティにリリースしました。MBRFilter は MBR を読み取り専用モードにするドライバで、ストレージ デバイスのこの部分にあるコンテンツが悪意のあるソフトウェアによって書き込まれたり、変更されることを防ぎます。
詳細
MBR はマス ストレージ デバイスの開始時点(セクター 0)にある特別な保存場所で、ストレージ デバイスの分割方法に関する情報や、デバイスのファイルシステム構成に関する詳細情報を保存するために使用されます。さらに MBR は、システムの電源投入時にシステムにインストールされているオペレーティング システムをロードするブート ローダを保存するためにも使用されます。
Petya はランサムウェアの亜種で、感染したシステムの MBR を上書きし、ブートローダを悪意のあるものに置き換えることで機能します。この悪意のあるブート ローダは、ストレージ デバイス上のマスター ファイル テーブル(MFT)を暗号化するために使用されます。NTFS ファイルシステムは MFT を使用して、ファイルシステム内に保存されているすべてのファイルとディレクトリの詳細情報を保存します。Petya はストレージ デバイスのコンテンツをすべて暗号化しないかわりに MFT を判読できなくするため、一度システムが感染すると、ファイルを取得して復元することが非常に困難になります。
Petya のようなマルウェアによって MBR のコンテンツ(MFT を含む)が操作されることを防ぐ取り組みとして、Talos はオープン ソース コミュニティに MBRFilter をリリースしました。MBRFilter は Microsoft 社の diskperf と classpnp ドライバに基づくシンプルなディスク フィルタです。これを使用して、システムに接続されているすべてのディスク デバイス上で、マルウェアによるセクター 0 への書き込みを防ぐことができます。インストール後は、ディスクのセクター 0 をアクセス可能にして変更できるように、システムをブートしてセーフ モードにする必要があります。
AccessMBR ユーティリティは、物理ドライブ 0 のセクター 0 を読み込むことで機能し、そのセクターをディスクに書き戻します。AccessMBR で MBRFilter をテストすることはできますが、コンピュータを保護するためにこのドライバを使っているだけの場合は必要ありません。
次の実演ビデオでは、MBRFilter ドライバを使うことで、システムの MBR の操作を試みるマルウェアからどのようにシステムを保護するかをご覧いただくことができます。このビデオでは、Petya ランサムウェアを想定しています。
まとめ
Talos はオープン ソース コミュニティにこのアプリケーションをリリースすることで、コミュニティがさまざまな MBR ベースのマルウェアやランサムウェアに関連する脅威に対処できるよう支援しています。
オープン ソース リリースはこちらから入手できます。
リリースされたオープン ソース コードに加えて、Talos では、32 ビットおよび 64 ビットの Windows にインストールできる署名付きドライバをリリースしています。インストールは、リンクされている Zip アーカイブに含まれる INF ファイルを右クリックして [インストール] を選択することで実行できます。インストールにはシステムの再起動が必要です。
32 ビット版のインストール ファイルはこちらで入手できます。
(SHA256: 3696aaa457d611eb1843fa7ab9b2235ab09b4af7f4ba09c7b56603e87a5551e3)
64 ビット版のインストール ファイルは こちらで入手できます。
(SHA256: a1aa4c59258f3459fb9612eea81c3805ba23e2bd8ff28bad5cf40c94c099fd19)
本稿は 2016年10月19日に Talos Group のブログに投稿された「MBRFilter – Can’t Touch This!」の抄訳です。