歐洲最新網路攻擊

bmw_m3

bmw_m3
個人積分：1098分
文章編號：64872622

1098分

樓主

2017-06-28 0:01

歐洲數國最近遭受網路攻擊,病毒是一種名為petya的舊款病毒
有人對此款病毒有研究嗎?該如何預防呢?

2017-06-28 0:01 發佈

文章關鍵字歐洲網路攻擊

KevinYu0504

KevinYu0504
個人積分：8569分
文章編號：64873309

8569分

2樓

2017-06-28 1:57

bmw_m3 wrote:
歐洲數國最近遭受網路攻擊,病毒是一種名為petya的舊款病毒
有人對此款病毒有研究嗎?該如何預防呢?

petya 勒索病毒並不全然是舊款病毒，
比較確切來說應該是 WannaCry (想哭)勒索病毒的變種。
或至少 petya 的作者是從 WannaCry 獲得了靈感。

petya 勒索病毒似乎一樣使用之前 WannaCry 同樣採用的 -
美國國安局駭客工具永恆之藍的 SMB 漏洞來感染系統。

如果說你的系統已經有透過 Windows update 安裝 2017/03 之前的更新，
理論上 petya 勒索病毒就無法透過公開在網路掃瞄有弱點的系統，然後入侵並植入病毒的方式。

國外相關報導

感謝 PTT - imasa (便當俠)提供新聞連結

不過值得注意的是，
petya 勒索病毒不像是 WannaCry 只透過掃描 SMB 漏洞來試圖感染受害者系統，
還有嘗試透過其他管道方式進入系統，像是網路上遭到感染的廣告、信件夾帶的檔案、假的安裝檔、
遭植入惡意代碼的文件檔案(ex. .doc .ppt 等等)

且按照該報導說明，這次 petya 勒索病毒並沒有像 WannaCry 擁有自殺開關，
WannaCry 當時擁有緊急的終止(自殺)開關，後來被某資安研究人員發現，
私下透過該方式，強制結束了 WannaCry 的感染繼續擴大，實在是真正的無名英雄。

但這次 petya 勒索病毒的作者大概是為了避免這種事發生，
病毒本身就沒有類似的自殺開關(killswitch)。

-----------------------

同樣防治的方法還是那幾樣不變 ~

1. 確保系統透過更新，保持在最新狀態，並確認所有的安全性更新均有安裝成功
2. 所有軟體都保持在最新版本，更新軟體時，最好透過官方網站下載。
3. 安裝防毒軟體並更新至最新版本，確保做好系統最後的一道防線。
4. 重要資料要做好備份，雞蛋別全放在一個籃子內，多做一兩份備份在不同地方(最好離線存放)。

notebook18k

notebook18k
個人積分：438分
文章編號：64876799

438分

3樓

2017-06-28 11:30

除了利用 SMBv1 漏洞入侵電腦安裝勒索軟體外，Petya 也會利用被感染電腦的 Windows 客戶端對其他電腦發動攻擊，而且 Petya 不會在背景執行檔案加密，只會偽裝成 Windows 提示訊息要求使用者重開機、偽裝成自動執行硬碟掃描，然後就被鎖了（…）。除了隨時進行Windows更新以外，有一些防範的小撇步也要注意：

1.設定較為複雜的 Windows 登入密碼
2.以系統管理員權限開啟命令提示字元，執行指令 net stop winmgmt b，關閉Windows遠端安裝服務

luswtin

luswtin
個人積分：123分
文章編號：64877307

123分

4樓

2017-06-28 12:01

https://m.facebook.com/notes/kaspersky-lab/卡巴斯基實驗室發現expetr勒索軟體並非petya變種/1488689457854258/

看來是新勒索軟體

KevinYu0504

KevinYu0504
個人積分：8569分
文章編號：64878893

8569分

5樓

2017-06-28 13:47

luswtin wrote:
https://m.facebook.com/notes/kaspersky-lab/卡巴斯基實驗室發現expetr勒索軟體並非petya變種/1488689457854258/
看來是新勒索軟體

感謝你的資料補充 ~
看來剛開始媒體有誤報的狀況 ~

ExPetr

labbat

labbat
個人積分：202分
文章編號：64879066

202分

6樓

2017-06-28 13:57

沒有自殺開關反而是好事。防毒軟體比較好抓到。放到類似沙盒的虛擬系統，病毒就無所遁形馬上被偵測到，不傷害到真正的系統。

KevinYu0504

KevinYu0504
個人積分：8569分
文章編號：64879344

8569分

7樓

2017-06-28 14:18

labbat wrote:
沒有自殺開關反而是好事。防毒軟體比較好抓到。放到類似沙盒的虛擬系統，病毒就無所遁形馬上被偵測到，不傷害到真正的系統。

抱歉，這點我不太懂，
理論上 killswitch 應該只有終止的用途，就像是病毒的緊急開關。
一般來說是病毒作者為了特殊情況下使用，來緊急終止病毒的運作 ~ (ex.FBI 來查水表了)

但 killswitch 並沒有辦法增加隱藏或潛伏的能力才是，
為什麼沒有 killswitch 反而會更容易被防毒抓到呢 ?

且有些勒索病毒、木馬或者其他 Malware 都很賊，
一旦偵測或者探測到你的環境是虛擬機器或者沙盒，
就會自動隱藏不發作，甚至自殺的都有 ~ 就是要避免被探測出來

labbat

labbat
個人積分：202分
文章編號：64882462

202分

8樓

2017-06-28 18:30

之前看到的一篇文章，找不到原文了。
大意是說空的網站就是病毒判斷虛擬系統的依據，因為防毒軟體會回應病毒的通信請求，而實際上空的網站是不回應的，據此判斷是不是被困在虛擬系統內。
有一點駭客任務第一集的出現黑貓的味道，就是假定不該發生，結果發生了，所以病毒不是在實際系統上觸發。

KevinYu0504

KevinYu0504
個人積分：8569分
文章編號：64885751

8569分

9樓

2017-06-28 23:59

labbat wrote:
之前看到的一篇文章，找不到原文了。
大意是說空的網站就是病毒判斷虛擬系統的依據，因為防毒軟體會回應病毒的通信請求，而實際上空的網站是不回應的，據此判斷是不是被困在虛擬系統內。
有一點駭客任務第一集的出現黑貓的味道，就是假定不該發生，結果發生了，所以病毒不是在實際系統上觸發。

恩...聽起來有點玄，
像是空的網站理論上確實不會有任何回應(因為不存在)，
但理論上防毒軟體不會替任何網站或服務來回應不存在的目標才是。

亦或者，空的網站也不會因為是否是 virtual system 而有不同的回應才是，
畢竟都是不存在的目標。

我本來的認知是覺得這類的 Malware 可能會讀取其系統內的執行程序，
看看是否有相關的 virtual system 執行時所必要的一些程序跟檔案來判斷是否是 VM 系統 ~

不過是否真如我所猜，就不是很確定了 ~
這部分可能更專業些，超過我目前的理解 orz

plusv

plusv
個人積分：169分
文章編號：64886644

169分

10樓

2017-06-29 3:30

KevinYu0504 wrote:
恩...聽起來有點玄，
像是空的網站理論上確實不會有任何回應(因為不存在)，
但理論上防毒軟體不會替任何網站或服務來回應不存在的目標才是。

亦或者，空的網站也不會因為是否是 virtual system 而有不同的回應才是，
畢竟都是不存在的目標。

我本來的認知是覺得這類的 Malware 可能會讀取其系統內的執行程序，
看看是否有相關的 virtual system 執行時所必要的一些程序跟檔案來判斷是否是 VM 系統 ~

不過是否真如我所猜，就不是很確定了 ~
這部分可能更專業些，超過我目前的理解 orz

方法很多,

API IsDebuggerPresent/RDTSC/....
特殊 VM/SandBox/... API/DLL
查硬體 CPU/NIC/....
查軟體 Reg/File/Device/....

其實閃過砂箱或虛擬機也不困難,
無論是病毒或是商業軟體的保護,
防砂箱/防虛擬機/防跟蹤/加殼/混淆/免殺/加密/格式化/......
這些手法都很常見,
網上使用最多最廣的黑暗工具的是 OllyDbg/IDA 搭著用.

☆ 私人訊息直接刪除不再回覆 ☆ 願望 : bovuhPPjMnEfkyhggnsJdABaLFPuhXT4