作者查詢 / mayuyu
作者 mayuyu 在 PTT [ AntiVirus ] 看板的留言(推文), 共594則
限定看板:AntiVirus
看板排序:
24F→: 這是老問題了 從國外連bilibili或百度會使用網宿的CDN06/13 22:42
25F→: ESET和avast認為這個CDN是惡意網址 所以會阻止連線06/13 22:43
17F推: 其實不只Google/Mozilla的工程師這麼說06/01 23:53
18F→: 許多研究資安問題的機構也都這麼說 在他們看來06/01 23:54
19F→: 有些防毒的開發者反而沒有基本的安全觀念06/01 23:54
20F→: 他們的設計反而增加了系統被病毒攻擊的介面06/01 23:54
21F→: 而且很糟糕的是 由於這些防毒軟體運作在系統的核心06/01 23:54
22F→: 一旦被利用 就會造成無可阻擋的破壞06/01 23:54
23F→: 我們一般可能沒有注意防毒軟體本身也有漏洞的新聞06/01 23:55
24F→: 其實許多資安機構和組織包括Google Project Zero06/01 23:55
25F→: 每年都在發現防毒軟體的嚴重漏洞06/01 23:55
26F→: 這些漏洞使得系統本身的安全設計形同虛設06/01 23:55
27F→: 比沒有安裝防毒的情況更加慘烈06/01 23:56
28F→: 和我們一般印象相反的是06/01 23:56
29F→: 這些資安專家認為Windows10系統本身的安全性設計06/01 23:56
30F→: 已經足以緩解大部分的漏洞攻擊06/01 23:56
31F→: 可是不安全的防毒軟體設計反而製造了更多病毒利用的管道06/01 23:56
32F→: 譬如說系統本身的AppContainer的沙箱設計非常難以攻破06/01 23:56
33F→: 但是利用防毒軟體的漏洞 病毒反而可以輕鬆從沙箱逃逸06/01 23:57
34F→: 這個結果和我們一般的印象完全相反 所以可能讓人無法接受06/01 23:57
35F→: 但是這是真的 系統本身的安全設計反而是最堅固的06/01 23:57
36F→: 所以Chrome的沙箱設計理念的第一條就是「不要自己造輪子」06/01 23:57
37F→: 你要設計安全軟體 就用系統本身提供的安全架構和功能就好06/01 23:57
38F→: 不要自己發明和設計另一套漏洞百出的安全系統06/01 23:57
39F→: 所有軟體都是基於系統 仰賴系統提供的功能而運作的06/01 23:58
40F→: 沒有會比系統本身的安全架構更堅固的設計06/01 23:58
41F→: 所以Google才會認為「不要疊床架屋」自己設計輪子06/01 23:58
42F→: 然而隨著Windows本身的安全性越來越好06/01 23:58
43F→: 防毒軟體的地位就會變得越來越尷尬06/01 23:58
44F→: 前一陣子才發生卡巴斯基怒嗆微軟壟斷防毒市場的新聞06/01 23:59
45F→: 防毒市場因為以前的Windows不安全 已經發展了很多年06/01 23:59
46F→: 結果現在微軟反而認為防毒是累贅 經常衝突製造系統的不穩06/01 23:59
47F→: 所以想要逐步限制第三方的防毒軟體06/02 00:00
48F→: 這樣廠商生存不下去當然要抗議06/02 00:00
2F→: 這是攻擊者利用永恆之藍在掃描port44505/14 23:31
3F→: 傳送特製的封包訊息 偵測主機是否存在SMB漏洞時05/14 23:31
4F→: 被防火牆的入侵預防組件 過濾到訊息的特徵05/14 23:32
5F→: 判斷出這是攻擊SMB漏洞的特製訊息05/14 23:32
6F→: 所以直接攔截了這個網路流量05/14 23:32
7F→: 在漏洞修補前的三月防火牆就已經更新了這個過濾特徵05/14 23:32
8F→: 所以雖然原PO沒有更新作業系統 還是擋下了這波網路攻擊05/14 23:32
7F→: 只拒絕寫入的話這次是不行的05/14 01:40
8F→: WannaCry會調用icacls來修改存取權限05/14 01:40
9F→: 要拒絕修改權限/完整控制才能避免05/14 01:41
10F→: 可以用其他有自己的過濾驅動的鎖資料夾軟體05/14 01:41
11F→: 也可以避免被加密05/14 01:41
16F→: 建立xxxxxx.TMP的是哪一支程式?也許被放行了05/14 01:55
23F→: @gwofeng 你有放行任何程式嗎? 鎖資料夾的軟體是?05/14 14:20
24F→: 是Secure Folders嗎?出現TMP好像是因為WannaCry05/14 14:49
25F→: 要對原檔進行破壞而產生的 不過它沒有辦法寫進去05/14 14:49
26F→: 所以變成一些OKB的暫存檔在外面05/14 14:49
27F→: 不過TMP的數目和資料夾下檔案數目不一定相同05/14 14:49
28F→: 有的時候不會產生 可能跟原始的檔案大小有關係05/14 14:50
1F→: comodo的日常05/14 00:52
17F→: 有些分析病毒的虛擬環境/虛擬機/沙箱05/14 00:50
18F→: 會攔截連外的域名解析然後一律回報沙箱自身的IP05/14 00:50
20F→: 所以當查詢一個不存在的域名時竟然可以得到IP位址05/14 00:51
21F→: 有很大的可能程式本身正運行在一個沙箱裡05/14 00:51
22F→: 既然是運行在沙箱裡那麼再做進一步的行為也是白費功夫05/14 00:51
23F→: 為了避免被繼續分析 所以惡意程式乾脆自殺退出運行05/14 00:51
24F→: 這個手段常見於偵測自己是否在某些沙箱中運行05/14 00:51
32F→: 對啊 應該是要隨機生成字串 譬如說隨機生成五個域名05/14 01:51
33F→: 然後測試這五個隨機的域名 檢查是否都返回一樣的IP05/14 01:52
34F→: 只是作者沒這樣寫 可能懶 反正最後終究是要被分析的05/14 01:52
35F→: 寫這個只是拖延一下時間而已 不料被反利用了05/14 01:52
69F推: 這波攻擊是利用MS17-010 在被攻擊前趕快打上補丁就沒事05/13 01:33
72F→: 攻擊者會掃描IP檢查port445是否開啟 如果開啟會傳送05/13 01:33
73F→: 特製的封包從回應判斷對方的系統是否存在SMB漏洞05/13 01:33
74F→: 目前研究人員發現受入侵的電腦drop勒索軟體之後05/13 01:33
75F→: 竟然還會連上網路掃描其他主機的port44505/13 01:33
77F→: 也就是受入侵的主機會變成另一台攻擊主機05/13 01:33
78F→: 用P2P的方式繼續傳遞攻擊 所以蔓延的速度才會這麼快05/13 01:34
37F→: WIN10即使沒有更新也不會因為SMB的漏洞而被入侵05/03 21:06
38F→: 雖然WIN10的SMB服務存在同樣的漏洞05/03 21:06
39F→: 但是溢出覆蓋惡意程式碼的記憶體位址05/03 21:06
40F→: 在WIN10是不允許執行的05/03 21:06
41F→: 所以覆蓋的惡意程式碼沒有辦法產生作用05/03 21:07
42F→: 微軟官方有聲明WIN10對於這個入侵是免疫的05/03 21:07
43F→: 雖然是免疫的 但是漏洞同樣存在05/03 21:07
44F→: 所以WIN10三月也有發佈修補這個漏洞的補丁05/03 21:07
52F推: @song042008 只能說WIN10對於這次的SMB漏洞入侵是免疫的05/03 21:21
53F→: 但是其他版本如果有按時進行重大的安全性更新05/03 21:22
54F→: 同樣不會受到這次的入侵攻擊05/03 21:22
55F→: 微軟早在三月中的時候就為WIN7/8.1/2008/2012發佈了更新05/03 21:22
56F→: 今年二月Windows Update延後的時候媒體就報導過一次05/03 21:23
57F→: 三月底的時候又再報導提醒大家一定要記得更新05/03 21:23
59F→: 四月中NSA入侵工具流出的時候更是緊急呼籲要盡快更新05/03 21:23
61F→: 給的時間其實已經算相當充裕了05/03 21:23
62F→: 另外 如果你是使用WIN10 或者是使用數據機硬體撥接05/03 21:24
63F→: 電腦本身是用NAT上網 或者是你用軟體撥接拿實體IP上網05/03 21:24
64F→: 但是電腦有防火牆封鎖port44505/03 21:24
65F→: 那麼中的勒索病毒就是從其他管道進來的05/03 21:24
66F→: 和SMB的漏洞入侵沒有關係05/03 21:24
17F推: 推 感謝分享心得05/02 13:41
18F→: 請問您說的勒索病毒可以繞過的沙盒是哪一個?05/02 13:41
19F→: 順帶一提 目前沒有看過勒索病毒可以穿透虛擬機器05/02 13:42
20F→: 但是虛擬機器也有重大的執行任意程式碼的漏洞05/02 13:42
21F→: 例如VMWare 12.5.2之前的12.x版本05/02 13:42
22F→: 有一個嚴重的drag-and-drop漏洞05/02 13:42
23F→: 可以讓guest穿透虛擬機在host主機中執行任意程式碼05/02 13:42
24F→: 而今年三月的Pwn2Own大賽 駭客又利用edge+vmware的漏洞05/02 13:43
25F→: 展示過程只需要90秒就攻破虛擬機 可以執行任意程式碼05/02 13:43
26F→: 取得主機的最高權限 VMware六天後緊急推出12.5.5來修補05/02 13:43
27F→: 所以即使是沙盒或虛擬機都還是可能存在漏洞的05/02 13:43
28F→: 只是在野外的真實世界中 沒有看過利用這些漏洞的勒索樣本05/02 13:44
38F推: 原來是指這種防毒「檢測時」使用的沙箱05/02 14:12
39F→: 我以為是指Sandboxie或Comodo的Container05/02 14:13
40F→: (Sandboxie就是你貼的文章中推薦的沙盒)05/02 14:13
41F→: Comodo最近是有bypass的例子05/02 14:13
42F→: https://www.youtube.com/watch?v=gWo0XnLHr3g05/02 14:13
43F→: 但那是因為該惡意程式被雲端信任 根本沒有進入沙箱05/02 14:13
44F→: 如果有進沙箱 應該是不可能逃逸的05/02 14:13
45F推: Comodo的防火牆應該可以擋住這次的網路攻擊05/02 14:15
46F→: 從一開始大概就無法入侵 即使被入侵05/02 14:16
47F→: 執行木馬下載其他惡意軟體時也會被抓到自動沙盒05/02 14:16
49F推: 附帶一提 如果想檢查「從外面」是否看得到自己的port開啟05/02 14:18
50F→: 網路上有很多Open Port Check的工具網站05/02 14:18
51F→: 譬如說no-ip提供的 http://www.portchecktool.com/05/02 14:19
52F→: 如果你是用數據機硬撥取得實體IP05/02 14:19
53F→: 主機是躲在數據機後面用NAT上網 有數據機的防火牆擋著05/02 14:19
54F→: 通常檢查所有port都會是關閉的05/02 14:19
55F→: 除非你有另外打開Virtual Server(Port Forwarding)05/02 14:19
3F→: 有做系統更新就不會有事 不用特別去改防火牆04/30 22:57
25F→: 四月和三月是分開的05/01 13:23
26F→: 每個月的安全性品質彙總套件修補的是不一樣的漏洞05/01 13:24
27F→: 最好安裝整個安全性更新包(安全性品質彙總套件)05/01 13:24
28F→: 不要只安裝MS17-010的修正05/01 13:24
29F→: 因為三月修復的高危漏洞不只MS17-01005/01 13:24
30F→: 網上流傳的攻擊工具包也可以利用三月的其他漏洞進行攻擊05/01 13:24
31F→: 只是SMB漏洞是當中最嚴重的 但是其他漏洞也還是要補比較好05/01 13:25
32F→: 建議每個月的安全性更新都一定要安裝05/01 13:25
33F→: 尤其是有標明「重大」的安全性更新05/01 13:25
34F→: 每次大規模的攻擊開始流行05/01 13:26
35F→: 通常都發生在這種重大的漏洞修補之後05/01 13:26
36F→: 例如之前大流行的Yahoo廣告勒索病毒 利用的Flash漏洞05/01 13:26
37F→: 也是在一個半月之前Adobe就已經發佈安全性修正05/01 13:26
38F→: 如果有按時進行安全性更新05/01 13:27
39F→: 就比較不會受到這種跟流行的漏洞攻擊05/01 13:27
40F→: (大家都知道有這漏洞了 還有現成工具 每個人都想試試05/01 13:27
41F→: 所以變成一種流行)05/01 13:28
48F→: 我看了一下說明 現在更新包分為二種05/01 14:27
49F→: 以WIN7為例 WIN7的三月安全性更新包有二種05/01 14:27
50F→: 1. 僅限安全性品質更新 (KB4012212)05/01 14:28
51F→: 2. 每月安全性品質彙總套件 (KB4012215)05/01 14:28
52F→: 僅限安全性品質更新 -> 只包含當月(三月)的所有安全性更新05/01 14:28
53F→: 每月安全性品質彙總套件 -> 除了三月的安全性更新,05/01 14:28
54F→: 還包括過去每月的安全性和非安全性的更新。05/01 14:28
55F→: 因此三月的「彙總套件」(KB4012215)05/01 14:29
56F→: 也包含了一月的「彙總套件」(KB3212646)所有的更新。05/01 14:29
57F→: 所以如果安裝四月的「每月安全性品質彙總套件」(KB401554905/01 14:29
58F→: 也會包含三月的所有安全性更新。05/01 14:30
59F→: 如果不放心,也可以先裝三月的彙總套件,05/01 14:30
60F→: 再安裝四月的彙總套件,05/01 14:30
61F→: Windows Update每個月的自動更新也是這樣安裝的05/01 14:30
62F→: 三月的時候裝KB4012215 四月的時候再裝KB401554905/01 14:30
63F→: 每個月更新的時候都是下載和安裝彙總套件05/01 14:31
75F→: 被SMB漏洞攻擊的電腦有可能因此發生藍屏或重開機05/01 17:50
76F→: 所以有些人是睡一覺起來發現電腦自己重開機了05/01 17:50
77F→: 藍屏或重開機是攻擊產生的副作用 不是攻擊者目的05/01 17:50
78F→: 攻擊者的目的是上傳payload 通常是dll05/01 17:50
80F→: 注入目標程序後下載其他木馬或惡意軟體05/01 17:50
81F→: 微軟的更新是修補這個漏洞05/01 17:50
82F→: 在受到攻擊前把這個漏洞補起來05/01 17:50
83F→: 如果系統已經遭受過這個漏洞攻擊05/01 17:51
84F→: 並且已經被植入其他的木馬或惡意軟體05/01 17:51
85F→: 這個更新並不能移除被安裝的木馬或後門05/01 17:51
86F→: 也不能修復已經受損的系統05/01 17:51