作者andrew954 (andrew954)
看板AntiVirus
标题Re: [情报] WannaCry的kill switch 被发现了
时间Sun May 14 00:31:58 2017
不懂...
为什麽虚拟机和实体机对不存在的网址表现上会不一样?
虚拟机随便连到不存在的网址不是一样会显示错误吗?
有没有高手可以详细讲解一下当中的原理?
※ 引述《tallgeese05 (呆呆)》之铭言:
: 刚刚看到的新闻
: 有人无意间发现了停止这个病毒的方式
: 不过小弟我不是资安或是资讯人员
: 所以还请各位版上的高手们帮忙监定一下真伪
: 以下是原文在“theguardian”的连结
: 文章标题是
: 'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack
: 然後是用google产生的短网址
: goo.gl/mAQfMj
: 希望对大家有帮助
: 这是发现者的twitter
: https://twitter.com/MalwareTechBlog
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.160.37.67
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494693120.A.58C.html
1F:→ aa1477888: 不对喔 它的判断方式是 网域不存在时继续执行、传播 05/14 00:33
2F:→ aa1477888: 当今天网域存在了 程式走不下去了 自然就不执行 不传播 05/14 00:34
3F:→ aa1477888: 比如网域是墙壁 程式丢球到墙上 当墙壁存在 球弹回来 05/14 00:36
4F:推 a3831038: 所以作者更改一下要确认的网域就又可以继续感染没更新的 05/14 00:36
5F:→ a3831038: 电脑了,这则新闻一直报只会误导民众 05/14 00:36
6F:→ aa1477888: 程式接到球与在虚拟机中没有墙壁球不会弹回来不同 05/14 00:37
7F:→ aa1477888: 程式就傻住了 故不会继续执行 大概是这个意思 05/14 00:37
8F:推 rand: 不过他为什麽要设这个机制阿 让他一直传就好啦 05/14 00:38
9F:推 a3831038: 应该是要避开一些认证启动的签证 05/14 00:39
不好意思...我看不懂....你说的网域 是我理解的AD那个网域吗?
新闻里写的是virtual machine(VM)为什麽你是在讲网域.....
※ 编辑: andrew954 (1.160.37.67), 05/14/2017 00:41:45
10F:推 aa1477888: 有一说是避开防毒软体的沙盒机制 05/14 00:41
11F:→ ofy: 这只病毒跟疾风一样,中奖者会帮忙传播,所以加上煞车锁(网域) 05/14 00:46
12F:→ ofy: 换新变种的时候,才可以把旧版本的传播功能锁住 05/14 00:47
13F:→ rand: 所以是作者在测试时怕中奖加的? 05/14 00:47
14F:→ rand: 不过测不是都在虚拟机里侧吗 05/14 00:47
15F:→ rand: 为什麽换新变种要把旧的锁住啊 05/14 00:49
16F:→ trywish: 其实这个机制一直觉得怪怪的,抓到=停止,但是本来就没有 05/14 00:50
17F:→ mayuyu: 有些分析病毒的虚拟环境/虚拟机/沙箱 05/14 00:50
18F:→ mayuyu: 会拦截连外的域名解析然後一律回报沙箱自身的IP 05/14 00:50
19F:→ trywish: 注册,所以一直都不会停止。除非是作者故意留下的後门, 05/14 00:50
20F:→ mayuyu: 所以当查询一个不存在的域名时竟然可以得到IP位址 05/14 00:51
21F:→ mayuyu: 有很大的可能程式本身正运行在一个沙箱里 05/14 00:51
22F:→ mayuyu: 既然是运行在沙箱里那麽再做进一步的行为也是白费功夫 05/14 00:51
23F:→ mayuyu: 为了避免被继续分析 所以恶意程式乾脆自杀退出运行 05/14 00:51
24F:→ mayuyu: 这个手段常见於侦测自己是否在某些沙箱中运行 05/14 00:51
25F:→ trywish: 不然怎套用情境好像都不太合理。 05/14 00:51
26F:推 andy199113: 阴谋论:其实都是网域公司的阴谋~~ 05/14 00:52
27F:推 rand: 感谢mayuyu大大的讲解 05/14 00:54
28F:推 martian001: 感谢解说 05/14 00:55
29F:推 aa1477888: 感谢mayuyu详尽讲说 05/14 00:58
30F:推 bitcch: 如果是用来做沙箱检测 为何不用随机生成长字串不是更好 05/14 01:46
31F:→ bitcch: 这样也不会说现实真的被注册後就无法执行了 05/14 01:47
32F:→ mayuyu: 对啊 应该是要随机生成字串 譬如说随机生成五个域名 05/14 01:51
33F:→ mayuyu: 然後测试这五个随机的域名 检查是否都返回一样的IP 05/14 01:52
34F:→ mayuyu: 只是作者没这样写 可能懒 反正最後终究是要被分析的 05/14 01:52
35F:→ mayuyu: 写这个只是拖延一下时间而已 不料被反利用了 05/14 01:52
36F:→ gowaa: 看来下个变种就会是这个了 05/14 01:57
37F:推 lht2: 这样子一般PC也弄个输入任何域名 也会回ip的DNS不就好了? 05/14 08:31
38F:→ lht2: 像是OpenDNS好像会这样.. 05/14 08:32
39F:→ ChungLi5566: Host直接加就好了 不用到dns 05/14 09:30