当サイトの一部ページには、アフィリエイト・アドセンス・アソシエイト・プロモーション広告を掲載しています。

Amazonのアソシエイトとして、Security Akademeiaは適格販売により収入を得ています。

広告配信等の詳細については、プライバシーポリシーページに掲載しています。

消費者庁が、2023年10月1日から施行する景品表示法の規制対象(通称:ステマ規制)にならないよう、配慮して記事を作成しています。もし問題の表現がありましたら、問い合わせページよりご連絡ください。

参考:令和5年10月1日からステルスマーケティングは景品表示法違反となります。 | 消費者庁

Mr-Robotの仮想マシンがWindows Defenderに検知される【ハッキング・ラボ編】

はじめに

いつもブログをご覧いただきありがとうございます。

コーストFIRE中のIPUSIRONです😀

IPUSIRONのプロフィールを見る

現象

『ハッキング・ラボのつくりかた 完全版』のP.795において、攻撃端末であるMr-Robot: 1をダウンロードしています。

ブラウザーからダウンロードすると、Windows Defenderに検知されて、ファイルアクセスがブロックされます。

※Windows Defenderの設定によっては、勝手に削除されます。

書籍の執筆当時は問題ありませんでしたが、当記事の執筆時点(2024年3月)では、私の環境でもこの問題が再現しました。

原因

Windows Defenderは"mrRobot.ova"ファイルを「Trojan:Win32/Casdet!rfn」と判定し、ファイルが削除・検疫されたようです。

Windows Defenderに検知されたからといって、すべてウイルスというわけではありません。

こうした事例はよくあります。

改めて、「ダウンロードしたOVAファイルのハッシュ値」(強制的にダウンロードした)と「VulnHubページのハッシュ値」を比較してみると、一致しています。

以上より、私的には大丈夫として判断していますが、最終的には自分で判断するしかありません。

本当に心配であれば、Mr-Robotの実験については読むだけにするという判断でもよいでしょう。

疑い始めたらきりがありません。
Mr-Robotの仮想マシンだけでなく、他の仮想マシンも今後同様の問題が起こる可能性があります。
さらに疑うのであれば、VulnHub、VirtualBoxさえも本当に信頼できるのかという話になります。
最終的には、自己責任で判断するほかありません。

解決策

ここでは、Mr-Robotの仮想マシンが問題ないと判断し、実習をするものとして答えます。

1:Mr-Robotの仮想マシンをダウンロードする直前に、Windowd Defenderのリアルタイム保護をOFFにします。

2:指定のURLから"mrRobot.ova"ファイルをダウンロードします。

3:ダウンロードしたOVAファイルのハッシュ値を比較します。このステップは念のためにやっているだけで、実験をするだけであれば飛ばしても構いません。

エクスプローラーでダウンロードフォルダーを開いて、アドレス欄に「cmd /k」と入力して[Enter]キーを押します。

そのフォルダーをカレントディレクトリーとして、コマンドプロンプトが表示されます。

certuilコマンドを使って、指定のファイルのハッシュ値を計算できます。

>certutil -hashfile <ファイルパス> [ハッシュアルゴリズム]

ハッシュアルゴリズムには"MD5″や"SHA1″を指定します。

出力されたハッシュ値が、Mr-Robotのページに掲載されたものと一致していれば、一安心です[1]ただし、万が一そのページが改ざんされ、さらにファイルが不正に置き換わっていれば、調べようがありません。

4:OVAファイルをVirtualBoxにインポートします。

これによりMrRobotの仮想マシンが完成します。

5:仮想マシンさえ完成すれば、Windows Defenderのリアルタイム保護をONに戻しても問題ありません。

ONの状態でも、仮想マシンは起動できます。P.796の図E11-4の画面が表示されるはずです。

後は、P.795以降の実験を継続できます。

References

References
1 ただし、万が一そのページが改ざんされ、さらにファイルが不正に置き換わっていれば、調べようがありません。