Re: [情報] WannaCry的kill switch 被發現了

看板AntiVirus作者 (andrew954)時間7年前 (2017/05/14 00:32), 7年前編輯推噓10(10030)
留言40則, 13人參與, 最新討論串4/5 (看更多)
不懂... 為什麼虛擬機和實體機對不存在的網址表現上會不一樣? 虛擬機隨便連到不存在的網址不是一樣會顯示錯誤嗎? 有沒有高手可以詳細講解一下當中的原理? ※ 引述《tallgeese05 (呆呆)》之銘言: : 剛剛看到的新聞 : 有人無意間發現了停止這個病毒的方式 : 不過小弟我不是資安或是資訊人員 : 所以還請各位版上的高手們幫忙鑑定一下真偽 : 以下是原文在“theguardian”的連結 : 文章標題是 : 'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack : 然後是用google產生的短網址 : goo.gl/mAQfMj : 希望對大家有幫助 : 這是發現者的twitter : https://twitter.com/MalwareTechBlog -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.37.67 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494693120.A.58C.html
05/14 00:33, , 1F
不對喔 它的判斷方式是 網域不存在時繼續執行、傳播
05/14 00:33, 1F
05/14 00:34, , 2F
當今天網域存在了 程式走不下去了 自然就不執行 不傳播
05/14 00:34, 2F
05/14 00:36, , 3F
比如網域是牆壁 程式丟球到牆上 當牆壁存在 球彈回來
05/14 00:36, 3F
05/14 00:36, , 4F
所以作者更改一下要確認的網域就又可以繼續感染沒更新的
05/14 00:36, 4F
05/14 00:36, , 5F
電腦了,這則新聞一直報只會誤導民眾
05/14 00:36, 5F
05/14 00:37, , 6F
程式接到球與在虛擬機中沒有牆壁球不會彈回來不同
05/14 00:37, 6F
05/14 00:37, , 7F
程式就傻住了 故不會繼續執行 大概是這個意思
05/14 00:37, 7F
05/14 00:38, , 8F
不過他為什麼要設這個機制阿 讓他一直傳就好啦
05/14 00:38, 8F
05/14 00:39, , 9F
應該是要避開一些認證啟動的簽證
05/14 00:39, 9F
不好意思...我看不懂....你說的網域 是我理解的AD那個網域嗎? 新聞裡寫的是virtual machine(VM)為什麼你是在講網域..... ※ 編輯: andrew954 (1.160.37.67), 05/14/2017 00:41:45
05/14 00:41, , 10F
有一說是避開防毒軟體的沙盒機制
05/14 00:41, 10F
05/14 00:46, , 11F
這隻病毒跟疾風一樣,中獎者會幫忙傳播,所以加上煞車鎖(網域)
05/14 00:46, 11F
05/14 00:47, , 12F
換新變種的時候,才可以把舊版本的傳播功能鎖住
05/14 00:47, 12F
05/14 00:47, , 13F
所以是作者在測試時怕中獎加的?
05/14 00:47, 13F
05/14 00:47, , 14F
不過測不是都在虛擬機裡側嗎
05/14 00:47, 14F
05/14 00:49, , 15F
為什麼換新變種要把舊的鎖住啊
05/14 00:49, 15F
05/14 00:50, , 16F
其實這個機制一直覺得怪怪的,抓到=停止,但是本來就沒有
05/14 00:50, 16F
05/14 00:50, , 17F
有些分析病毒的虛擬環境/虛擬機/沙箱
05/14 00:50, 17F
05/14 00:50, , 18F
會攔截連外的域名解析然後一律回報沙箱自身的IP
05/14 00:50, 18F
05/14 00:50, , 19F
註冊,所以一直都不會停止。除非是作者故意留下的後門,
05/14 00:50, 19F
05/14 00:51, , 20F
所以當查詢一個不存在的域名時竟然可以得到IP位址
05/14 00:51, 20F
05/14 00:51, , 21F
有很大的可能程式本身正運行在一個沙箱裡
05/14 00:51, 21F
05/14 00:51, , 22F
既然是運行在沙箱裡那麼再做進一步的行為也是白費功夫
05/14 00:51, 22F
05/14 00:51, , 23F
為了避免被繼續分析 所以惡意程式乾脆自殺退出運行
05/14 00:51, 23F
05/14 00:51, , 24F
這個手段常見於偵測自己是否在某些沙箱中運行
05/14 00:51, 24F
05/14 00:51, , 25F
不然怎套用情境好像都不太合理。
05/14 00:51, 25F
05/14 00:52, , 26F
陰謀論:其實都是網域公司的陰謀~~
05/14 00:52, 26F
05/14 00:54, , 27F
感謝mayuyu大大的講解
05/14 00:54, 27F
05/14 00:55, , 28F
感謝解說
05/14 00:55, 28F
05/14 00:58, , 29F
感謝mayuyu詳盡講說
05/14 00:58, 29F
05/14 01:46, , 30F
如果是用來做沙箱檢測 為何不用隨機生成長字串不是更好
05/14 01:46, 30F
05/14 01:47, , 31F
這樣也不會說現實真的被註冊後就無法執行了
05/14 01:47, 31F
05/14 01:51, , 32F
對啊 應該是要隨機生成字串 譬如說隨機生成五個域名
05/14 01:51, 32F
05/14 01:52, , 33F
然後測試這五個隨機的域名 檢查是否都返回一樣的IP
05/14 01:52, 33F
05/14 01:52, , 34F
只是作者沒這樣寫 可能懶 反正最後終究是要被分析的
05/14 01:52, 34F
05/14 01:52, , 35F
寫這個只是拖延一下時間而已 不料被反利用了
05/14 01:52, 35F
05/14 01:57, , 36F
看來下個變種就會是這個了
05/14 01:57, 36F
05/14 08:31, , 37F
這樣子一般PC也弄個輸入任何域名 也會回ip的DNS不就好了?
05/14 08:31, 37F
05/14 08:32, , 38F
像是OpenDNS好像會這樣..
05/14 08:32, 38F
05/14 09:30, , 39F
Host直接加就好了 不用到dns
05/14 09:30, 39F
05/14 20:55, , 40F
05/14 20:55, 40F
更多 andrew954 的文章
文章代碼(AID): #1P5pK0MC (AntiVirus)
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 4 之 5 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共5篇)
更多 andrew954 的文章
文章代碼(AID): #1P5pK0MC (AntiVirus)