作者andrew954 (andrew954)
看板AntiVirus
標題Re: [情報] WannaCry的kill switch 被發現了
時間Sun May 14 00:31:58 2017
不懂...
為什麼虛擬機和實體機對不存在的網址表現上會不一樣?
虛擬機隨便連到不存在的網址不是一樣會顯示錯誤嗎?
有沒有高手可以詳細講解一下當中的原理?
※ 引述《tallgeese05 (呆呆)》之銘言:
: 剛剛看到的新聞
: 有人無意間發現了停止這個病毒的方式
: 不過小弟我不是資安或是資訊人員
: 所以還請各位版上的高手們幫忙鑑定一下真偽
: 以下是原文在“theguardian”的連結
: 文章標題是
: 'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack
: 然後是用google產生的短網址
: goo.gl/mAQfMj
: 希望對大家有幫助
: 這是發現者的twitter
: https://twitter.com/MalwareTechBlog
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.37.67
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494693120.A.58C.html
1F:→ aa1477888: 不對喔 它的判斷方式是 網域不存在時繼續執行、傳播 05/14 00:33
2F:→ aa1477888: 當今天網域存在了 程式走不下去了 自然就不執行 不傳播 05/14 00:34
3F:→ aa1477888: 比如網域是牆壁 程式丟球到牆上 當牆壁存在 球彈回來 05/14 00:36
4F:推 a3831038: 所以作者更改一下要確認的網域就又可以繼續感染沒更新的 05/14 00:36
5F:→ a3831038: 電腦了,這則新聞一直報只會誤導民眾 05/14 00:36
6F:→ aa1477888: 程式接到球與在虛擬機中沒有牆壁球不會彈回來不同 05/14 00:37
7F:→ aa1477888: 程式就傻住了 故不會繼續執行 大概是這個意思 05/14 00:37
8F:推 rand: 不過他為什麼要設這個機制阿 讓他一直傳就好啦 05/14 00:38
9F:推 a3831038: 應該是要避開一些認證啟動的簽證 05/14 00:39
不好意思...我看不懂....你說的網域 是我理解的AD那個網域嗎?
新聞裡寫的是virtual machine(VM)為什麼你是在講網域.....
※ 編輯: andrew954 (1.160.37.67), 05/14/2017 00:41:45
10F:推 aa1477888: 有一說是避開防毒軟體的沙盒機制 05/14 00:41
11F:→ ofy: 這隻病毒跟疾風一樣,中獎者會幫忙傳播,所以加上煞車鎖(網域) 05/14 00:46
12F:→ ofy: 換新變種的時候,才可以把舊版本的傳播功能鎖住 05/14 00:47
13F:→ rand: 所以是作者在測試時怕中獎加的? 05/14 00:47
14F:→ rand: 不過測不是都在虛擬機裡側嗎 05/14 00:47
15F:→ rand: 為什麼換新變種要把舊的鎖住啊 05/14 00:49
16F:→ trywish: 其實這個機制一直覺得怪怪的,抓到=停止,但是本來就沒有 05/14 00:50
17F:→ mayuyu: 有些分析病毒的虛擬環境/虛擬機/沙箱 05/14 00:50
18F:→ mayuyu: 會攔截連外的域名解析然後一律回報沙箱自身的IP 05/14 00:50
19F:→ trywish: 註冊,所以一直都不會停止。除非是作者故意留下的後門, 05/14 00:50
20F:→ mayuyu: 所以當查詢一個不存在的域名時竟然可以得到IP位址 05/14 00:51
21F:→ mayuyu: 有很大的可能程式本身正運行在一個沙箱裡 05/14 00:51
22F:→ mayuyu: 既然是運行在沙箱裡那麼再做進一步的行為也是白費功夫 05/14 00:51
23F:→ mayuyu: 為了避免被繼續分析 所以惡意程式乾脆自殺退出運行 05/14 00:51
24F:→ mayuyu: 這個手段常見於偵測自己是否在某些沙箱中運行 05/14 00:51
25F:→ trywish: 不然怎套用情境好像都不太合理。 05/14 00:51
26F:推 andy199113: 陰謀論:其實都是網域公司的陰謀~~ 05/14 00:52
27F:推 rand: 感謝mayuyu大大的講解 05/14 00:54
28F:推 martian001: 感謝解說 05/14 00:55
29F:推 aa1477888: 感謝mayuyu詳盡講說 05/14 00:58
30F:推 bitcch: 如果是用來做沙箱檢測 為何不用隨機生成長字串不是更好 05/14 01:46
31F:→ bitcch: 這樣也不會說現實真的被註冊後就無法執行了 05/14 01:47
32F:→ mayuyu: 對啊 應該是要隨機生成字串 譬如說隨機生成五個域名 05/14 01:51
33F:→ mayuyu: 然後測試這五個隨機的域名 檢查是否都返回一樣的IP 05/14 01:52
34F:→ mayuyu: 只是作者沒這樣寫 可能懶 反正最後終究是要被分析的 05/14 01:52
35F:→ mayuyu: 寫這個只是拖延一下時間而已 不料被反利用了 05/14 01:52
36F:→ gowaa: 看來下個變種就會是這個了 05/14 01:57
37F:推 lht2: 這樣子一般PC也弄個輸入任何域名 也會回ip的DNS不就好了? 05/14 08:31
38F:→ lht2: 像是OpenDNS好像會這樣.. 05/14 08:32
39F:→ ChungLi5566: Host直接加就好了 不用到dns 05/14 09:30