VHD と VHDX ファイル
もともと Connectix Virtual PC で登場した VHD (Virtual Hard Disk) ファイル形式は、ハード ディスク ドライブ内容を保存することが可能です。 最終的には、Microsoft Hyper-V がこのディスク イメージ形式を採用しました。 Windows 7 およびそれ以降のシステムには、VHD ファイルを手動でマウントする機能があります。 Windows 8以降では、ユーザーはファイルをダブルクリックするだけで、VHDをマウントすることができます。 一度マウントされると、VHDディスクイメージは、システムに物理的に接続されている通常のハードディスクとしてWindowsに表示されます。 VHDX (Virtual Hard Disk v2) イメージは、機能的には VHD イメージと同等ですが、より大きなサイズやディスクのサイズ変更のサポートなど、より現代的な機能を備えています。
VHD/VHDX とファイル システムの破損
BFF でファイル システム イメージをファジングした後、破損したディスクをマウントすると Windows がクラッシュするいくつかの異なる方法を見つけ出すことができました。 破損したファイル システムを持つ USB 大容量記憶装置を物理的に接続することは、明白な攻撃ベクトルでした。 しかし、システムへの物理的なアクセスが許可されると、多くのセキュリティ概念が否定されることになります。 VHDおよびVHDXファイルでは、被害システムへの物理的なアクセスは必要ありません。
Mark of the Web
Mark of the Web (MOTW) は Windows XP SP2 で導入され、ローカル ファイル システム上のファイルに、そのファイルが作成された Internet Explorer セキュリティ ゾーンに関する情報をタグ付けできるようになりました。 この MOTW 機能は、より多くのファイルの種類とシナリオを処理できるように進化してきました。
たとえば、Microsoft Office 2010 では、インターネットから来たことを示す MOTW でタグ付けされたドキュメントは、Microsoft Office Protected View で開かれるようになりました。 保護されたビューにあるドキュメントは、できることが制限されているため、潜在的に危険なドキュメントの攻撃対象領域を減らすことができます。
Windows 10 以降、Windows Defender SmartScreen は、特定の種類のファイルがインターネットから発信された場合、その実行を制限するようになりました。 以下は、安全でない実行可能ファイルを SmartScreen がブロックしたときに表示される内容です
ファイルがインターネットから発信されているかどうかを Windows が知るにはどうすればよいのでしょうか。 それは、問題のファイルに関連付けられた MOTW タグを使用します。 Windows エクスプローラーまたは他の準拠した ZIP ユーティリティを使用して ZIP ファイルのコンテンツを抽出する場合、ZIP ファイル内に含まれる各ファイルは ZIP ファイル コンテナの MOTW を運びます。
VHD/VHDX ファイルと MOTW
ユーザー エクスペリエンスの観点から、Windows 8 から VHD および VHDX ファイルが ZIP ファイルと同様の機能を持つことができます。 つまり、ユーザーはファイルをダブルクリックして、Windows エクスプローラーにその内容を表示します。 重要な違いは、VHD または VHDX コンテナー内に含まれるファイルは、コンテナー ファイルの MOTW を保持しないことです。
エンド ユーザーの視点から見ると、これは何を意味するのでしょうか? VHD または VHDX ファイル内に含まれるすべてのファイルは、インターネットから発信されたファイルに対して Windows が提供するのと同じ保護を受けることはできません。 この意味を理解するために、MOTW タグが付いた (ZIP 内の) ファイルと MOTW タグを含まない (VHD 内の) ファイルの違いをいくつか示すビデオを作成しました
VHD/VHDX ファイルとアンチウイルス
現在展開しているアンチウイルス ソフトウェアが VHD または VHDX ファイル内のファイルをスキャンする証拠は見つかっていません。 しかし、企業を運営している人にとって、これらのファイルをスキャンする機能がないため、エンドポイントに到着するまで、特定のファイルに対して盲点が残ります。 VHD および VHDX ファイルのコンテンツが電子メールおよび Web ゲートウェイ セキュリティ製品によってスキャンされない場合、これらの製品は VHD または VHDX ファイル内に含まれるマルウェアを検出する見込みがありません。
私は EICAR アンチマルウェア テストファイルを含む VHD を作成し、そのファイルを VirusTotal にアップロードしてみました。
VirusTotal で設定されたどのスキャナーも、VHD ファイルの内容をスキャンしたという証拠はありません。
ISO と IMG ファイル
ISOファイル経由で広がるマルウェアはすでに実際に発生しています。 VHD および VHDX ファイルと同様に、ISO または IMG ファイルのコンテンツは、含まれているファイルの MOTW を持ちません。 また、VHD および VHDX ファイルと同様に、Windows 8 からは、ISO および IMG ファイルはダブルクリックで開くことができます。 しかし、VHD および VHDX ファイルとは異なり、配備されたアンチウイルス製品が ISO または IMG ファイルに含まれるマルウェアを検出する可能性が高くなります。
上記と同じ EICAR テストを VirusTotal で実行しましたが、今回は eicar.com ファイルが ISO ファイル内に検出されました。
これらの結果は素晴らしいものではありませんが、いくつかのセキュリティ製品が ISO ファイルのファイル コンテンツをスキャンするという少なくともいくつかの証拠があります。
結論と推奨事項
VHD および VHDX ファイルは危険である場合があります。 カーネル レベルのファイル システムの解析と、そのコンテンツへの MOTW タグ付けの欠如の組み合わせにより、VHD または VHDX ファイルがエンドポイントに到着することを許可すると、それらのシステムに提示されるリスクが増加します。
- 電子メール ゲートウェイで VHD、VHDX、IMG、および ISO ファイルをブロックする。
- Microsoft Windows Explorer で VHD、VHDX、IMG、および ISO ファイル拡張子の登録を解除する。 (これらのファイルがダウンロードされる正当な理由もあるので、制限が正当なビジネス ニーズを妨げないようにします。)