Come ha fatto Wanna Cry a superare i programmi antivirus

Naviga le tue risposte
1

Per coloro che hanno avuto computer Windows quando il virus WannaCry ha colpito, in che modo il virus ha bypassato i programmi antivirus. Ho provato a leggere alcuni articoli a riguardo, ma non capisco come esattamente quel buco di Windows abbia aiutato il virus a eludere il software antivirus. È solo questione di persone che non hanno software antivirus o questo virus lo ha in qualche modo eluso?

    
posta ilikeyoyo 04.08.2017 - 00:00
fonte

2 risposte

0

Bypassare gli AVP potrebbe essere semplice a prescindere di cosa è ampiamente creduto

Il problema con "anti-virus tradizionale" è che non rilevano exploit o malware in memoria, come nel caso di Wanancry. Il "buco" SMB come lo hai descritto, è stato usato -via EternelBlue (l'exploit) - per eseguire in remoto e in memoria il pezzo di malware. Questo significa :

It is almost impossible to protect against new malware that will use the EternalBlue exploit to propagate except when using next-generation endpoint protection with memory scanning capabilities and exploit detection. Traditional anti-virus without premium features or configured by default will not block the EternalBlue exploit.

Herer è un tipico flusso di esecuzione Wanancry:

    
risposta data 04.08.2017 - 00:31
fonte
1

Il software antivirus in genere rileva le minacce malware in due modi:

  • rilevamento basato su firma
  • rilevamento euristico

I prodotti software antivirus non avevano una definizione o firma del virus per WannaCry poiché non era mai stato visto prima (minaccia precedentemente non rilevata) come un malware appena creato. Quindi è sfuggito a tutti i rilevamenti basati sulla firma.

Il rilevamento euristico si basa sull'osservazione dell'esecuzione attiva di un binario. Ad esempio, se un antivirus osserva un virus che cerca e modifica o appende eseguibili su un sistema, contrassegna il file binario come possibile malware o sospetto. Il modo in cui WannaCry funziona è l'accesso a specifiche librerie crittografiche su Windows (per il processo di generazione di chiavi e la successiva crittografia) e quindi la scansione di tipi di file di documenti comuni come DOCX, XLSX, JPG ecc. Per crittografare. Il motore euristico dell'antivirus non riesce a rilevare questo come una tipica infezione da malware. Probabilmente aggiungeranno funzionalità euristiche per fermare il ransomware mentre si sta eseguendo osservando il suo comportamento da qualche tempo nel prossimo futuro. Ad esempio: link

Inoltre, come hai detto, è possibile che molti utenti colpiti non stessero utilizzando una soluzione antivirus correttamente aggiornata ed efficace. Se fossero grandi sull'aggiornamento del software, avrebbero aggiornato il loro sistema operativo Windows e avevano una patch per la vulnerabilità Eternal Blue MS17-010.

    
risposta data 04.08.2017 - 00:25
fonte

Leggi altre domande sui tag

Non può sovrascrivere EIP nell'esempio di sfruttamento di base Accesso alla password WPA / WPA2 dal modulo di autenticazione nativo su un router non autorizzato