yikesnews第14期:关于WannaCry近期最新消息汇总以及乌龙事件的澄清

释放双眼,带上耳机,听听看~!

点击阅读原文可点击链接

根据目前情况,勒索事件跟风报到,各种分析,各种炒作,各种p图的现状,现在专门整理一个较为权威的列表供大家阅读一番,真假是非自己来判断,目前已知360的版本是最全的,列表会放在后面。

下面再对一些网上热评进行解答

对于样本具有反沙箱问题,有很多人分析后说没有,我想说明一下,这还是具有的,不然开关的设置是为了干啥

一般沙箱都会设置欺骗DNS的响应,就是发出去一个请求然后回一个请求过来,而此时在沙箱内访问开关生效了,那么样本就不执行加密措施了,也就成功反沙箱了

今天还看见qz情报分享了国外的一个报告也是别有新意,如下

还有就是关闭开关的英国小伙子发推特称,他取回的开关正在被中国的某人进行域名申诉,设法取回,话说这事情表明了什么= =

还有一方面就是关于“WannaCry 2.0”版本有无争议方面,大家可以看下面这一段话

该病毒确实有两个版本,其1.0版本最早于3月29日,其并无主动传播模块,也不受开关域名的约束,而此时NSA“永恒之蓝”相关漏洞也尚未泄露。其2.0版本就是在2017年5月12日大规模爆发并被各安全厂商所分析的版本。病毒分成传播框架和释放出来的加密模块。其中传播框架受到开关域名的约束,而其加密模块与此前的1.0版本基本逻辑一致,自身不具备主动传播的属性,其内部均未设置开关域名条件
。卡巴斯基Costin Raiu在推特上发出错误消息(已经于13日中午删除),认为存在所谓“WannaCry 2.0”版本,是这一乌龙事件的起源。现在,卡巴斯基已经在推特发布澄清消息。

然后安全加已经发布了一篇关于两个版本的区别,大概就是

1、连接域名相差两个字符

2、WinMain函数的某处跳转更改

3、资源段的部分内容修改

基本大内容跟此前版本相差无二,所以防御方案还是老措施即可

还有网上关于勒索文件恢复的问题,八方各路的恢复工具雨后春笋般出现在网络上,但实际上该类都是数据恢复工具,如果不是中勒索的第一时间中,都会被硬盘给自动清理掉,也就是说出事的时候越早使用效果越好,因此想完全解密的话还是等作者放出来私钥吧,现在已经有公司做出解密工具,就等放出私钥了

还有就是要加yara规则的自取一下吧

https://github.com/Neo23x0/signature-base/blob/master/yara/crime_wannacry.yar

下面是详细分析的列表以及一些处置方案

360 的

http://bobao.360.cn/learning/detail/3853.html 

comae的

https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58

腾讯电脑管家的

http://www.freebuf.com/articles/system/134578.html  

瑞星的

http://www.freebuf.com/articles/paper/134637.html  

Endgage的

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis  

PeerLyst的

https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi   

CNNVD的

http://www.freebuf.com/news/134624.html

漏洞盒子的处置方案

https://www.vulbox.com/knowledge/detail/?id=10

微步在线的

http://www.freebuf.com/articles/system/134658.html

下面是每日资源以及其他的安全消息和工具等

Linux Kernel 3.x usb-midi 本地提权漏洞介绍及 PoC(CVE-2016-2384)

https://cxsecurity.com/issue/WLB-2017050093

安全相关的机器学习资料收集

http://fsecurify.com/machine-learning-and-cyber-security/ 

 FTP 等协议日志/恶意样本数据/常用密码/威胁情报的数据

http://www.secrepo.com/

Securiy Innovation 《Hacking iOS Applications》

https://web.securityinnovation.com/hubfs/iOS%20Hacking%20Guide.pdf

高级社会工程学技巧BSides Denver 2017

https://github.com/t3ntman/Conference-Talks/blob/master/Advanced%20Social%20Engineering%20for%20Red%20Teams.pdf

MpEngine   mpscript 工具

https://mastodon.social/@slipstream/5485890

Linux 下检测 Intel AMT 状态的工具mei-amt-check

https://github.com/mjg59/mei-amt-check

quicksand_lite分析可疑恶意文档的工具

可以识别不同编码下的 exploits 以及提取嵌入文档中的可执行文件

https://github.com/tylabs/quicksand_lite

awesome-compilers – 编译器(Compilers)、解释器(Interpreters )、运行时(Runtimes)相关的一些资料整理

https://github.com/aalhour/awesome-compilers

fuzz学习:

pulsar – 可自动化学习协议并模拟协议通信的网络 Fuzzing 工具

https://github.com/hgascon/pulsar

OpenXMolar – Python 编写的 Microsoft Open XML 文件格式 Fuzzing 框架

https://github.com/debasishm89/OpenXMolar

FireEye 发布了一份新的 APT 报告: APT 32(海莲花)- 全球企业面临的威胁

https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html

adlab

Amnesia:首个检测沙箱的物联网僵尸网络

http://paper.seebug.org/302/

惠普(HP)发布驱动更新,后门移除

https://www.bleepingcomputer.com/news/hardware/hp-releases-driver-update-to-remove-accidental-keylogger/

通过 Script Gadgets 绕过常用 XSS 缓解技术

http://sebastian-lekies.de/slides/appsec2017.pdf

绕过 libinjection 对 SQL 注入的检测

https://medium.com/@d0znpp/how-to-bypass-libinjection-in-many-waf-ngwaf-1e2513453c0f

PHPStress:PHP拒绝服务攻击

https://n0where.net/phpstress/

工控安全学习资源汇总

https://github.com/tanjiti/icstools

Arachni:Web应用安全扫描框架

https://n0where.net/web-application-security-scanner-framework/

http://bobao.360.cn/learning/detail/3533.html


本文源自微信公众号:黑鸟

人已赞赏
安全工具

CVE-2018-4993漏洞正在用于攻击+资源

2019-10-16 10:42:08

安全工具

卧底俄罗斯的美国间谍曾被迫撤离,理由真是怕总统多嘴?

2019-10-16 10:42:12

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索