引用:
|
作者cys070
嗯∼感謝
以前關掉flash mms.cfg 那個
現在只靠火狐的sandbox保護這樣夠嗎?
|
這樣也可以
我編譯的firefox打開保護模式
完全anti buffer overflow跟anti hook
你就算把所有sandbox關掉也不會怎樣
引用:
|
作者coolcliff01
首先要有個觀念:零日攻擊意味著防禦永遠居於劣勢
一般人能做的大抵如下:
windows 及 office 保持更新,之前才看過一個做公家單位資安防禦生意的廠商報告,對岸使用三到五年前的惡意 doc 檔就能攻入我國公家單位,就知道問題多嚴重,人家根本用不上最新漏洞就能玩死我們
java 跟 flash 需要使用時才打開(這個要配合瀏覽器外掛套件)
PDF 使用第三方 reader 作為預設(絕大多數的惡意 pdf 都得搭配 Adobe 官方 reader 才能觸發)
使用沙盒、HIPS、防毒程式(這三項中有做到任一項都算可以了)
再加上啟用UAC、不使用系統管理員權限(這兩點在win系統上是個兩難,會讓電腦變得有那麼一些「煩人」,而且有能力繞過 UAC 以及強行提升權限的惡意程式其實不少)
另外,這類加密勒索軟體的感染方式目前眾說紛紜,我看到比較多的苦主說法都是免空載點的廣吿,所以應該是 fla...
|
這個不可能是零天攻擊
也沒有這樣的零天攻擊
如果是你早就知道來源是什麼了
如果透過pdf,你改用第三方閱讀器也沒有用
很多pdf漏洞,早已經是無差別攻擊
你不用adobe reader也一樣會中標
所以你的第三方閱讀器也要時常保持更新
而pdf也是我懷疑的一個散撥方式
在這個case,你不用去考慮它是不是會繞過uac
ring3提權在真實世界根本少見
就算提權了,怎麼利用也是另外一個問題
因為實際上它也沒有繞過uac
使用的也只有當前使用者的操作權限
還有就來源真的是flash好了
你不要以為用了adblock或者ublock之類的東西就萬事ok了
其實你仔細去看那些規則
很多都是隱藏規則,並不是阻擋規則
也因為式隱藏規則的關係
導致adblock的memory leak問題
跟資源佔用比不用adblock時還大
你只是看不見那些被隱藏的flash
實際上它還是在那裡
或者你把瀏覽器改成要用才讀取flash
引用:
|
作者coolcliff01
然後又想到有能力穿破主防、沙盒的樣本其實也不少見
立刻軟了一半  |
根本穿不了好嗎...
這病毒我這裡一大堆樣本
而且就算沒有sandbox保護好了
你的av特徵碼沒有,啟發式也漏了
你的ad跟fd也不可能漏
假設透過瀏覽器網頁掛碼或flash好了
也是一個downloader下載病毒母體
通常會伴隨登陸檔的修改
rd也會觸動
像前面那個ptt連結內容提到會開cmd
這個已經是不正常調用了
ad 100%會觸發
這病毒手腳根本就是拙劣來形容
八百年前的黑色炸彈跟熊貓燒香
還比這個高明多了