自由工具保护PC从主引导记录攻击
思科系统“Talos团队开发了一个开源工具,可以保护Windows计算机的主引导记录从赎金软件和其他恶意攻击的修改。
该工具称为MBRFilter,用作符号系统驱动程序,并将磁盘的扇区0放入只读状态。它适用于32位和64位Windows版本,其源代码已在Github上发布。
主引导记录(MBR)由可执行代码组成,即“存储在硬盘驱动器的第一个扇区(扇区0)中并启动操作系统的引导加载程序。MBR还包含有关磁盘的分区及其文件系统的信息。
由于MBR代码在OS本身之前执行,因此可以通过恶意软件程序滥用,以增加其持久性并在防病毒程序之前启动头部。感染MBR的恶意软件程序从历史上被称为Bootkits - 引导级rootkits。
Microsoft通过在Windows 8及更高版本中实现引导加载程序的加密验证来解决BOOTKIT问题。此功能称为安全启动,并基于统一的可扩展固件接口(UEFI) - 现代化BIOS。
问题是安全启动不适用于所有计算机和所有Windows版本,并且不支持所有计算机分区磁盘。这意味着在那里仍有大量的计算机,其中没有受益于它并仍然容易受到MBR攻击的影响。
最近,赎金软件作者还了解侵犯MBR攻击的可能性。例如,3月份出现的Petya Ransomware将MBR替换了MBR,恶意代码将计算机分区重新启动计算机分区的主文件表(MFT)。
MFT是NTFS分区上的特殊文件,其中包含有关其他每个文件的信息:它们的名称,大小和映射到硬盘扇区。加密MFT使整个系统分区无法使用,并阻止用户能够使用其计算机。
第二个赎金软件程序,用于针对MBR并出现今年的称为Satana。它不会加密MFT,但是加密原始的MBR代码本身,并用自己的代码替换它,该代码显示赎金票据。
修改MBR的第三个赎金软件程序,以防止计算机从引导被称为HDDCRYPTER,一些研究人员认为它会预测Petya和Satana。
“MBRFilter是一个简单的磁盘过滤器,基于Microsoft的DiskPerf和ClassPNP示例驱动程序,”Cisco Talos研究人员在博客文章中表示。“它可用于防止恶意软件在连接到系统的所有磁盘设备上写入扇区0。一旦安装,将需要将系统引导到安全模式下,以便磁盘的扇区0变为可访问的修改。“