MBRFilter: สาธิตการป้องกัน Master Boot Record จาก Ransomware

หลังจากที่ Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco เปิดให้ดาวน์โหลด MBRFilter เครื่องมือสำหรับป้องกัน Master Boot Record จาก Ransomware และภัยอันตรายต่างๆ ทางเว็บไซต์ Bleeping Computer ได้ทำการทดสอบเครื่องมือดังกล่าวกับ Ransomware หลายประเภท เช่น Satana, Petya และ Petya + Mischa ผู้ที่สนใจสามารถดูวิดีโอสาธิตการใช้งานได้ด้านล่าง

Ransomware บางประเภทไม่ได้เข้ารหัสไฟล์ข้อมูลหรือไฟล์เอกสารของผู้ใช้ แต่ทำการเขียนทับ Master Boot Record (MBR) และเข้ารหัส Master File Table (MFT) ซึ่งเป็นไฟล์สำหรับเก็บข้อมูลเกี่ยวกับตำแหน่งของไฟล์อื่นๆ บน NTFS Partitions ส่งผลให้ OS ไม่ทราบว่าไฟล์ข้อมูลถูกเก็บอยู่ที่ส่วนใด หรือก็คือผู้ใช้ไม่สามารถบูทเข้าใช้งานระบบคอมพิวเตอร์ได้

MBRFilter เป็น Windows Disk Filter Driver ซึ่งคอยเฝ้าระวังว่ามีแอพพลิเคชันใดพยายามแก้ไข Master Boot Record หรือไม่ จากนั้นทำการบล็อกการแก้ไขนั้นๆ ซะ ส่งผลให้ Ransomware เหล่านั้นไม่สามารถเปลี่ยนแปลงและเข้ารหัส Master Boot Record ได้ ซึ่งทาง Bleeping Computer ได้อัปโหลดวิดีโอสาธิตการทำงานของ MBRFilter เมื่อพยายามติดตั้ง Satana, Petya และ Petya + Mischa Ransomware ดังที่แสดงด้านล่าง

จากวิดีโอ แสดงให้เห็นว่า MBRFilter ทำงานได้อย่างดีในการบล็อก Ransomware ทั้งหมดที่พยายามแก้ไข Master Boot Record อย่างไรก็ตาม กรณี Petya + Mischa นั้น Mischa Ransomware ยังคงสามารถติดตั้งตัวเองเพื่อเข้ารหัสไฟล์ข้อมูลของผู้ใช้บนเครื่องได้ เนื่องจากไม่ได้ยุ่งเกี่ยวกับ Master Boot Record แต่อย่างใด (ส่วน Petya ไม่สามารถติดตั้งได้อยู่แล้ว)

ภาพด้านล่างแสดงหน้าต่าง Pop-up ที่ MBRFilter ตรวจจับความพยายามแก้ไข Master Boot Record และบล็อกไม่ให้มีการแก้ไขเกิดขึ้น

ผู้ที่สนใจสามารถดาวน์โหลด MBRFilter มาทดลองใช้ได้ผ่านทาง GitHub

ที่มา: http://www.bleepingcomputer.com/news/security/testing-mbrfilter-against-ransomware-that-modify-the-master-boot-record/