Thuốc đặc trị miễn phí bảo vệ Master Boot Record

MBR là điểm khởi đầu cho quá trình nạp hệ điều hành khi khởi động máy tính vì thế dễ trở thành mục tiêu tấn công mã độc. Mỗi khi bật máy tính, đầu tiên BIOS ... MBR là điểm khởi đầu cho quá trình nạp hệ điều hành khi khởi động máy tính vì thế dễ trở thành mục tiêu tấn công mã độc. 

Mỗi khi bật máy tính, đầu tiên BIOS sẽ nạp vào bộ nhớ hệ thống thực hiện chức năng kiểm tra các thành phần phần cứng của máy. Nếu tất cả đã sẵn sàng chương trình vào/ra cơ bản này sẽ nạp đoạn mã nằm trên sector đầu tiên của ổ đĩa khởi động, thường gọi là cung mồi hay bản ghi khởi động MBR. Đến lượt mình MBR sẽ nạp hệ điều hành từ đĩa và chuyển giao quyền điều khiển. MBR còn chứa thông tin về các phân vùng ổ đĩa và các hệ thống tập tin của chúng.

Chính vì tầm quan trọng của MBR như vậy mà nhiều loại virus đã được viết ra để tấn công đoạn mã này. MBR nếu bị hỏng hệ thống sẽ không thể khởi động được, nhưng thâm độc hơn hacker sửa lại MBR để gọi tới đoạn mã độc khác sau đó mới nạp hệ điều hành. Bằng cách này phần mềm mã độc qua mặt chương trình antivirus, nên thường được gọi là bootkit - một dạng rootkit ở mức khởi động (boot).

Microsoft đã cố gắng giải quyết vấn đề bootkit bằng cách thực hiện xác thực mật mã của bộ khởi động (booloader) kể từ Windows 8.  Tính năng này được gọi là Secure Boot và dựa trên Unified Extensible Firmware Interface (UEFI), vốn được nhiều nhà sản xuất bo mạch chủ thời nay dùng thay cho BIOS đã trở nên lỗi thời. Nhưng như vậy nghĩa là vẫn còn rất nhiều PC cũ không hưởng lợi từ Secure Boot và vẫn tồn tại lỗ hổng MBR, dễ bị hacker khai thác tấn công.

Đáng ngại là gần đây lỗ hổng từ MBR đã bị những kẻ tống tiền ransomware tích cực khai thác. Chẳng hạn ransomware Petya xuất hiện hồi tháng 3 có khả năng ghi đè lên MBR và mã hóa bảng tập tin gốc (MFT), vốn có nhiệm vụ quản lý thông tin tên, kích thước, vị trí của tất cả tập tin của phân vùng ổ đĩa định dạng NTFS, một khi PC khởi động lại. Điều đó khiến nạn nhân không sử dụng được máy của mình vì không thể truy cập phân vùng hệ thống. Một ransomware khác có tên Satana cũng xuất hiện trong năm nay không đụng đến MFT nhưng lại mã hóa đoạn code gốc MBR và hiển thị cảnh báo đòi tiền chuộc. Trước Petya và Satana còn có ransomware HDDCrypter sửa đổi MBR khiến PC không thể khởi động được.

Thuốc “đặc trị” MBRFilter của Cisco

Bạn có thể từng gặp trường hợp PC Windows dính virus mà cài lại vẫn không loại bỏ được. Khi đó có một thủ thuật là dùng đĩa sạch khởi động máy vào môi trường DOS, rồi dùng lệnh fdisk /mbr để khôi phục bản ghi khởi động MBR trước khi cài lại Windows. Tuy nhiên, đó là cách xử lý khi sự cố đã xảy ra.

Mới đây nhóm các nhà nghiên cứu Talos của Cisco System đã phát triển một công cụ mã nguồn mở có thể bảo vệ MBR của PC Windows trước các cuộc tấn công sửa đổi của ransomware và các loại mã độc khác. Công cụ miễn phí này mang tên MBRFilter có chức năng như một trình điều khiển hệ thống đã ký xác thực và thiết lập Sector 0 của đĩa ở trạng thái chỉ đọc. MBRFilter có cả phiên bản cho Windows 32-bit và 64-bit, và mã nguồn đã được đưa lên GitHub.

“MBRFilter có thể được sử dụng để ngăn chặn việc mã độc ghi lên Sector 0 trên các đĩa cứng của máy tính. Sau khi cài đặt, cần khởi động lại máy vào chế độ Safe Mode để cập nhật Sector 0 của đĩa”, các nhà nghiên cứu của Cisco cho biết.

Nếu giải pháp của Cisco thực sự hiệu quả thì chúng ta có thể hy vọng sẽ tránh được nguy cơ mã độc tấn công MBR trên diện rộng gây hậu quả nghiêm trọng như Hàn Quốc đã phải hứng chịu vào tháng 3/2013. Theo ghi nhận, khoảng 48.000 máy tính của nhiều hãng truyền hình và ngân hàng lớn tại nước này đã bị tê liệt vì mã độc lây nhiễm, xóa MBR.  

PC World VN 11/2016

Nguồn: PC World VN