目前使用KevinYu0504大介紹的軟體,目前防護應該是夠的^^
Michael.L wrote:
算我少見吧
(本人是電腦專業但不是資訊安全系的)
木馬配上勒索,再帶有延遲性
的確可以殺過措手不及
而且這對日後分析造成很大障礙
例如你現在想透過受害人取得樣本研究也困難重重
當然這對注重電腦安全的人根本不值一提
透過0-day漏洞確是真正高明的手法
但是我想法是用0-day雖然是最麻煩最多人受害的
但是危害之大會令相關公司非常重視
以至實際收益可能不及傳統手法
傳統手法雖然很容易發現
但是連這麼容易發現都發現不了說明受害者電腦基礎很差
這才是容易賺錢的目標
而今次事件可以說是傳統手法中的高手
即使我們這些電腦專業一定不會中計
但是想取個樣本分析卻困難重重
最重要的是看入庫速度這病毒確實隱藏得很巧妙
才令到防毒軟件公司很難弄清感染源頭
我認為這樣確是了不起的手法
對老手不太影響卻能把新手殺光
你要明白這世上總有不善電腦的人在使用電腦
勒索病毒目的是錢,如何能找最多錢才是它們的目標
在這前題下0-day不一定是好選擇
我是因為對資安有些興趣,所以接觸了也好段時間,
所以稍微熟悉一些,嚴格來說,伊莉論壇這次的案例並不稀奇,
只不過是換了個場景、地點而已 ~ (Email 變成 伊莉論壇,附件檔案變成 假的 Flash 更新檔)
其實我個人認為 zero-day 的價值都遠大於這些勒索病毒能夠獲利的,
這些尚未被發現的 zero-day 在地下市值非常驚人,一堆人都有興趣的。
所以就會有專門在賣 zero-day 的人,獲取龐大利益後,
將漏洞技術交付出去,買家在用這漏洞專研惡意程式(ex.勒索病毒)去感染受害者。
更別提 zero-day 也可能會有政府、秘密機關、情報單位願意高價收購了 ~
這次這隻假的 Flash 更新檔(實際是木馬)確實入庫速度算慢了,
但有人在 PTT 提到似乎這檔案第一次出現就是在亞洲地區,
所以許多歐美的資安公司實際收到樣本的時候都比較晚了 ~
這方面也不難看出,現今許多資安廠商都是歐美地區的,
對於亞太地區的資訊威脅,其反應速度就有落差,
似乎也是可以有改進的空間。
starjack wrote:
世上沒有十全十美的防毒軟體.備份+良好使用電腦習慣才是王道
這句話就是最重要的
防範勝於治療,但也要做好最壞的打算 ~
良好的資安環境 + 定時備份好重要資料,
前者可以減少許多不必要的麻煩,後者假設遇上麻煩,也有備用方案可以解決問題
(雖則我沒打算刪除)
starjack wrote:
沒錯~世上沒有十全十美的防毒軟體.備份+良好使用電腦習慣才是王道,
目前使用KevinYu0504大介紹的軟體,目前防護應該是夠的^^
我算是第一次如此關注資安事件
可能是還未入庫的在01比較少見
一般上01求助的都是已知類型
所以這篇的研究價值才比較高
可能這在資安方面算是比較常見的個案吧!
而我關注的點也是入庫速度相關
問題點不是快慢而且有些很快有些相對就慢了
如果全都慢了說明隱藏性很好
這時主動式防護才是實力的較量
但是在這次事件中有某幾家很快便入庫了
這說明了當中可能有其他原因
各家防毒軟性的入庫程序是否有改善空間都是值得討論
而你所說的地區性問題絕對是其中一個因素
但我的想法是現在每家都有主動偵測和懷疑自動回報
除非某家在某地的佔有率異常低
否則要接觸在某地區開始傳播病毒比以前容易多了
但是各家對主動偵測的回報處理是否及時
因為這量一定不少要及時處理需要足夠的人力資源
而且處理是否有效率也是值得關注
當然這就是公司內部運作外人說三道四並沒有意義
但是我們可以比較各家的入庫速度
從中間接看出這些現象
正如你所說西方的防毒是否對東方的反應不太迅速正是好的結論
我認為需要有人去關注這種現象
從而研究出更快的應對方案
到底發現新病毒的程序需要作如何的改善才是這事件帶來的意義
當然防毒軟件公司應該每天都研究這個了
但是藉這次事件讓更多人關注和討論不是壞事
KevinYu0504 wrote:
我是因為對資安有些興趣,所以接觸了也好段時間,
所以稍微熟悉一些,嚴格來說,伊莉論壇這次的案例並不稀奇,
只不過是換了個場景、地點而已 ~ (Email 變成 伊莉論壇,附件檔案變成 假的 Flash 更新檔)
其實我個人認為 zero-day 的價值都遠大於這些勒索病毒能夠獲利的,
這些尚未被發現的 zero-day 在地下市值非常驚人,一堆人都有興趣的。
所以就會有專門在賣 zero-day 的人,獲取龐大利益後,
將漏洞技術交付出去,買家在用這漏洞專研惡意程式(ex.勒索病毒)去感染受害者。
更別提 zero-day 也可能會有政府、秘密機關、情報單位願意高價收購了 ~
這次這隻假的 Flash 更新檔(實際是木馬)確實入庫速度算慢了,
但有人在 PTT 提到似乎這檔案第一次出現就是在亞洲地區,
所以許多歐美的資安公司實際收到樣本的時候都比較晚了 ~
這方面也不難看出,現今許多資安廠商都是歐美地區的,
對於亞太地區的資訊威脅,其反應速度就有落差,
似乎也是可以有改進的空間。
上傳掃描
發現有6家 居然偵測不到(沒修改特徵碼,可以偵測到
AegisLab
McAfee-GW-Edition
Palo Alto Networks (Known Signatures)
Symantec
Webroot
ZoneAlarm by Check Point
這是原始的
https://virustotal.com/zh-tw/file/c916f579041503793250b42d6ff0f35641e2cd2bfc333ee0cfac17a20be09171/analysis/
這是修改過後的md5
https://www.virustotal.com/zh-tw/file/6399974da4e3ca09d57dd071f4bc65e88438190ca3415fd586fdf3c3ab492b94/analysis/
同樣的檔案
只是特徵碼被修改就能避開偵測
看起來 有部分防毒軟體 主防根本是裝飾用的
Michael.L wrote:
呃!我想知cap下...(恕刪)
我想他擷圖沒別的意思,應該是覺得你這段話講得不錯吧
您算是相當專業的了
您說的都蠻不錯的 ~
這也是為什麼每家防毒軟體都有自己宣稱較佳的防護能力,
就是除了靠特徵碼之外,主動防禦也是很重要的。
至於入庫速度,就我知道其實許多資安的廠商都有許多不同的地點,
專門收集這些檔案,且絕大部分都是先經過一個非常完整且詳細的 AI 自動判定,
假設確定有威脅就直接入庫,可疑或者有疑慮的才有可能經由人工審核。
但這部分每家的能力不盡相同,所以就會有差異。
就拿我現在使用的 Emsisoft 來舉例,
它採用的是自家引擎之外,還有 Bitdfender 的引擎,
且資料庫也是共用的,因此不論是入庫或者偵測率,都會有一定水準。
dk504503 wrote:
剛剛更改原病毒特徵馬(md5
上傳掃描
發現有6家 居然偵測不到(沒修改特徵碼,可以偵測到
AegisLab
McAfee-GW-Edition
Palo Alto Networks (Known Signatures)
Symantec
Webroot
ZoneAlarm by Check Point
這是原始的
https://virustotal.com/zh-tw/file/c916f579041503793250b42d6ff0f35641e2cd2bfc333ee0cfac17a20be09171/analysis/
這是修改過後的md5
https://www.virustotal.com/zh-tw/file/6399974da4e3ca09d57dd071f4bc65e88438190ca3415fd586fdf3c3ab492b94/analysis/
同樣的檔案
只是特徵碼被修改就能避開偵測
看起來 有部分防毒軟體 主防根本是裝飾用的
挺有趣的實驗
看來還是有部分防毒是只有透過特徵碼來判定右鍵掃瞄結果 ?
不過我想這部分可能不完全像你說的都是主防就只是裝飾的問題,
我懷疑 VirusTotal 網站的掃瞄結果,應該都只有類似右鍵掃瞄的結果而已,
應該沒有實際執行後是否有完全防禦的測試。
VirusTotal 既然掃瞄結果可以這麼快就出來,
應該不太可能每家防毒的主防都測試一遍 ~
也就是說可能某個防毒軟體在右鍵掃瞄的時候 Miss,
但是在惡意程序執行的時候,主防還是有反應的。
舉個例子,
我記得版面上有不少網友已經協助回應 Windows Defender
似乎在這隻木馬執行後,會顯示偵測到威脅並有隔離的動作 ~
所以雖然說 Microsoft 在 VT 的掃瞄結果到現在還是未偵測,但實際上惡意程序執行時,
還是有所動作的。
而是如何才能更快
在這次事件中不是沒有防毒能在合理時間內入庫
說明這不是不可能的事
之後就到了地區性差異
我承認這確實存在
但是這是不是就沒法改善只能接受
絕對不是
在取得樣本上現在有了回報機制
主動式攔截了的未知病毒一般都有回報
不一定需要地區辦事處做這些工作
所以除非地區佔有率過於低下否則取得途徑是有的
問題是對於大量收集回來的數據如何處理
我相信正是處理上的差異才會造成這次比較兩極化的情況
而我認為在資訊安全上各家防毒軟件是否還需要處於競爭狀態
在回報和分析上都是各顧各的
這樣不表示像今次的情況會再出現?
所以我有一個大膽的想法
我相信一些跨企業的安全組織絕對是有的
但是能不能在病毒分析上也進得類似的合作
目標是更迅速發現分析並入庫新病毒
而各家只用主動式防禦和其他資安功能作競爭
我相信這樣的做法才能集合最多人的力量去打這場永不完結的資安戰爭
KevinYu0504 wrote:
至於入庫速度,就我知道其實許多資安的廠商都有許多不同的地點,
專門收集這些檔案,且絕大部分都是先經過一個非常完整且詳細的 AI 自動判定,
假設確定有威脅就直接入庫,可疑或者有疑慮的才有可能經由人工審核。
但這部分每家的能力不盡相同,所以就會有差異。
我反而並不看重主動式防禦
雖然主動式防禦是解決未知病毒的有效辦法
但是問題的本身在於Windows不像iOS和Android一樣有Sandbox結構
在有可疑行為時的攔截是否有效一直都成疑問
這點只有有Sandbox才能有把握
所以我一直認為主動式防禦只是發現未知病毒的方法
但是在Windows上防禦病毒還是需要分析入庫等傳統方法
除非像iOS和Android等一樣有Sandbox可以讓人直接Close
否則主動式防禦不是最理想效果
至於VirusTotal絕對沒測主動式防禦的
它反應的只有入庫速度而已
所以我才說我認為這個只能是參考
而且還需要自己了解過當中的意義才能明白參考價值在那
如果沒有獨特見解我建議還是先充實自己比較好
因為資安就是一場攻防戰
不了解而去上戰場(用電腦)只能祝你好運
KevinYu0504 wrote:
挺有趣的實驗
看來還是有部分防毒是只有透過特徵碼來判定右鍵掃瞄結果 ?
不過我想這部分可能不完全像你說的都是主防就只是裝飾的問題,
我懷疑 VirusTotal 網站的掃瞄結果,應該都只有類似右鍵掃瞄的結果而已,
應該沒有實際執行後是否有完全防禦的測試。
VirusTotal 既然掃瞄結果可以這麼快就出來,
應該不太可能每家防毒的主防都測試一遍 ~
也就是說可能某個防毒軟體在右鍵掃瞄的時候 Miss,
但是在惡意程序執行的時候,主防還是有反應的。
內文搜尋
從 APP 打開
X