Mr-Robotの仮想マシンがWindows Defenderに検知される【ハッキング・ラボ編】

2024年3月12日

現象

『ハッキング・ラボのつくりかた 完全版』のP.795において、攻撃端末であるMr-Robot: 1をダウンロードしています。

Mr-Robot: 1 ~ VulnHub

Mr-Robot: 1, made by Leon Johnson. Download & walkthrough links are available.

 https://www.vulnhub.com/entry/mr-robot-1,151/

ブラウザーからダウンロードすると、Windows Defenderに検知されて、ファイルアクセスがブロックされます。

※Windows Defenderの設定によっては、勝手に削除されます。

書籍の執筆当時は問題ありませんでしたが、当記事の執筆時点（2024年3月）では、私の環境でもこの問題が再現しました。

原因

Windows Defenderは"mrRobot.ova"ファイルを「Trojan:Win32/Casdet!rfn」と判定し、ファイルが削除・検疫されたようです。

Windows Defenderに検知されたからといって、すべてウイルスというわけではありません。

こうした事例はよくあります。

「Process Hacker」が「Windows Defender」にマルウェア扱いされて困ってるらしい -

　“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

 https://forest.watch.impress.co.jp/docs/serial/yajiuma/12383...

改めて、「ダウンロードしたOVAファイルのハッシュ値」（強制的にダウンロードした）と「VulnHubページのハッシュ値」を比較してみると、一致しています。

以上より、私的には大丈夫として判断していますが、最終的には自分で判断するしかありません。

本当に心配であれば、Mr-Robotの実験については読むだけにするという判断でもよいでしょう。

解決策

ここでは、Mr-Robotの仮想マシンが問題ないと判断し、実習をするものとして答えます。

1：Mr-Robotの仮想マシンをダウンロードする直前に、Windowd Defenderのリアルタイム保護をOFFにします。

2：指定のURLから"mrRobot.ova"ファイルをダウンロードします。

3：ダウンロードしたOVAファイルのハッシュ値を比較します。このステップは念のためにやっているだけで、実験をするだけであれば飛ばしても構いません。

エクスプローラーでダウンロードフォルダーを開いて、アドレス欄に「cmd /k」と入力して[Enter]キーを押します。

そのフォルダーをカレントディレクトリーとして、コマンドプロンプトが表示されます。

certuilコマンドを使って、指定のファイルのハッシュ値を計算できます。

>certutil -hashfile ＜ファイルパス＞ [ハッシュアルゴリズム]

ハッシュアルゴリズムには"MD5″や"SHA1″を指定します。

出力されたハッシュ値が、Mr-Robotのページに掲載されたものと一致していれば、一安心です^[1]ただし、万が一そのページが改ざんされ、さらにファイルが不正に置き換わっていれば、調べようがありません。。

4：OVAファイルをVirtualBoxにインポートします。

これによりMrRobotの仮想マシンが完成します。

5：仮想マシンさえ完成すれば、Windows Defenderのリアルタイム保護をONに戻しても問題ありません。

ONの状態でも、仮想マシンは起動できます。P.796の図E11-4の画面が表示されるはずです。

後は、P.795以降の実験を継続できます。