以下主要是一些個人的想法與推測,也會包含一些在網路上以目光掃過的言論,所以某些來源可能已不可考了,如果有冒犯到,還請告知,我會盡速處理。這週最大的話題自然就是WanaCrypt0r 2.0了,網路上也有一些有趣的測試、想法與命題(防毒軟體有機會可以擋住勒索病毒嗎?使用者在更新不更新間猶豫的糾結是?)
關於這個勒索軟體的作用方式,已經有很多地方都有論述了,在此不會多做討論。
簡單來說,一般惡意攻擊有兩種途徑可以進入系統,第一種是"種瓜得瓜",第二種是"人在家中坐,禍從天上來"。第一種是由於使用者的操作使得威脅有機可趁(例如前幾週的伊莉Flash Player事件,就是使用者誤信網頁上的錯誤資訊,下載了被加料的Flash Player安裝檔案),而第二種則是"連上網路就會中標"。而本次的WanaCrypt0r 2.0比較偏向第二種(但是由於微軟早在3月即釋出的相關的系統更新,所以某些Windows平台上的受害者可能會被歸類為第一種)。然後,這也是Windows XP自微軟終止支援後所獲得的第二個官方更新(第一個更新發生於終止支援後的數日內,是Internet Explorer的嚴重漏洞,讓微軟願意重啟對一般大眾的更新也可以想見這個問題的嚴重性了)。
差不多是從勒索軟體在台灣開始盛行、慢慢被注意到的時候,Comodo這類具備了優異沙盒與HIPS的產品就開始引起了某些人的關注,這次也理所當然地有Youtuber火力展示了Comodo自動沙盒的強大之處。但其實這類的軟體固然是強大,卻也有著不易入手的高門檻在(雖然這款軟體其實有很完整的中文化,而且免費版就可以達成影片中的防護效果了);再加上這套軟體的純防毒的部分似乎沒有什麼突出的成績過,所以有一些網友會想尋找能與Comodo搭配的防毒軟體,好同時兼顧兩者的優點。
那麼,所謂的"沙盒無敵論"究竟成不成立呢?其實還是有些限制的,例如Comodo過去就曾經發生過沙盒被穿透的事件過;而目前看似牢不可破的Sandboxie卻也有著僅能對應放入沙盒中的程式的限制在(所以對於這次針對系統漏洞的攻擊其實並沒有幫助)。更重要的是,沙盒其實還是可以被放行的,這代表沙盒裡面的檔案還是有機會回到沙盒外的。在這種情境下,反而是VM(虛擬機)比較能夠免除這類的攻擊,不過這有個前提是你的HOST(主機端系統)必須是更新完整或是非採用Windows系統(本次災情僅限Windows系統),而且沒有使用共享資料夾的(以免VM中標透過共享去影響到HOST OS)。
另外一項由中國網友操作的測試,則是提供了一個實驗樣本,看看究竟防毒軟體能不能在災情爆發前攔截甚至解決掉本次的禍首WanaCrypt0r呢?測試的方式如下:
虛擬機下
Windows 7 SP1(未更新)
斷線不連網
病毒資料庫為2016/12/12日的版本
結果仍然有數家防毒產品(Kaspersky、Bitdefender、F-Secure、Dr.Web)以及舊版的Sandboxie 5.12(目前最新版為5.18)可以阻止這支於數個月後肆虐的惡意程式的運作;當然,這項測試還是有些需要留意之處:
1.惡意程式與虛擬機中的運作情況,未必與在實機上的一致(可以參見來源五裡,mayuyu的留言部分)。
2.目前僅有這一款的樣本,並不能保證同樣的測試條件下,這些過關的產品還能夠攔截到新的變種程式。
3.本次實驗的測試方法僅考慮到此惡意程式早期的傳播方法(e-mail傳播後手動點開下中標),對於某些早早鎖掉445 port的產品,實際上能夠倖免於後期的傳播方式。
4.如果病毒資料庫網前提一點(例如改成是201704的資料庫版本),或許能夠阻擋的產品會變多。
5.斷網下進行的測試會一定程度限制到某些防毒產品的防護功能(如Symantec所搭配的Sonar技術要連上網路才能發揮效果)
從這個實驗結果,似乎也只能推論說:防毒軟體是"有機會"可以擋下勒索病毒的。而或許有些人會覺得本測試的資料庫時間間隔了那麼久,會距離實際上的測試環境比較遠。筆者認為這也跟測試者想要測試的項目有關,測試者打算測試的項目是防毒產品的主動式防護技術,所以為了降低資料庫的影響而去選用比較舊的版本(好確定所有成功阻止的案例都不是因為這個病毒已經在資料庫裡了,同時也是為了模擬防毒軟體遇到未知勒索病毒時的抵抗能力)。
在稍晚的時間點,同位測試者拿了另外一個樣本來測試,結果便與上述的有些不同了;這次Bitdefender Free與Dr.Web沒能擋下攻擊,而Symantec的SEP(企業用的Endpoint Protection)則是成功靠著啟發式技術擋下,所以某些方面算是驗證了上述提及要留意的第二點了。
而這次的事件,固然是提醒了使用者定期安裝Windows更新的重要性,卻也凸顯了支持更新跟不更新這兩種使用族群存在已久的爭論;確實,某些Windows更新的結果不是那麼令人愉快(像是Windows XP時期的WGA認證)、漫長的套用更新時間;而有些時候,更新Windows反而帶來了其他問題(如2014年Windows的問題更新可能導致無法開機),當然也包含與硬體驅動相容性有關的問題。對於那些深受過其害的使用者,要讓他們重新去接受開啟更新有時並不容易(誰能預知下個更新會不會又有問題呢?);而對於那些什麼安全措施都沒做卻無風無雨的使用者,好像也很難找到說服的理由。
可是,現在的情勢似乎不得不去修補更新了,那可以怎麼幫助這些使用者呢?筆者認為需要有更新失敗的備案(還原方案,可以是來自硬碟廠商OEM版的True Image、免費的再生龍等),藉此降低對使用者造成的不便,也能慢慢讓他們重建信心。而比較新版的Windows可以延遲更新,讓使用者確定沒有災情後再進行安裝(不過遇到災情的時候還是建議盡速裝上對應釋出的安全更新)。
也有一些網友提出了一些蠻有趣的觀點,像是砍掉資料夾選項中System的權限、用BIOS把資料碟Disable等;但目前看來,物理性隔離的備份還是最有效的對應方式。
最後,筆者想稍微聊一下備份這一塊,現在比較流行的方案有行動硬碟、雲端同步、NAS這幾個,後面兩種方便度會高一點,不過也比較容易跟著中標(因為都以網路連結著);而行動硬碟或是內接式硬碟+硬碟外接盒的方案則是要留意操作、存放上的細節(像是備份的時候不要震到、備份時不要連結網路,還有就是,硬碟是很容易被摔壞的,標榜防摔的產品或許會好一點吧)。其實理想上需要做到有多種儲存媒體的備份,甚至是異地備份;不過筆者是蠻懷疑有多少使用者會花這些功夫去做啦(對,我也沒有做到那麼多),所以個人以為先從比較簡單、容量比較大、普遍接受度比較高的本地離線備份(就是剛剛說的第一種)開始去做,有需求與預算的時候再慢慢增加備份的種類與途徑吧。而雲端服務的部分,使用者需要先了解"同步"的意義,同步代表至少兩個地方(你的電腦、手機、平板跟雲端伺服器上)都有一樣的檔案,並且使這些地方的檔案一直保持相同。所以,這代表你的檔案也可能在被加密後上傳到雲端來取代掉你原本正常的檔案;因此,有些雲端服務標榜可以回朔檔案版本的功能就十分重要了(這樣讓使用者可以把雲端上的檔案回復成加密前的版本),當然,發現中標的話還是趕快關機斷網比較實在(然後看你要拔下硬碟到其他電腦、選擇在原機進安全模式,或是拿PE、Linux LIVE DVD/USB來救援檔案)。
參考來源:
1.Comodo測試影片(影片中刻意關掉HIPS,實際運用是可以開啟的)
https://www.youtube.com/watch?v=TVIhXwFJXMg
2.該Youtuber的Comodo設定
https://www.youtube.com/watch?v=TCOJ1W5GEDo&t=25s
3.防毒版的Comodo討論文
https://www.ptt.cc/bbs/AntiVirus/M.1494694024.A.FF1.html
4.中國網友進行的防毒軟體測試(後加測了WanaCrypt0r的變種)
http://bbs.kafan.cn/thread-2089134-1-1.html
5.虛擬機/實體機對應的不同行為與解釋(主要看mayuyu的留言部分)
https://www.ptt.cc/bbs/AntiVirus/M.1494693120.A.58C.html
6.網友觀點-從BIOS控管(缺點是升級或是BIOS被覆寫的話設定可能會失效)
https://www.ptt.cc/bbs/AntiVirus/M.1494698087.A.D54.html
7.網友觀點-砍System權限
https://www.ptt.cc/bbs/AntiVirus/M.1494705139.A.45D.html
8.伊莉Flash Player加料檔案解析
https://www.ptt.cc/bbs/AntiVirus/M.1492970122.A.0B9.html
9.巴哈上對於該測試結果的補充、看法
https://forum.gamer.com.tw/C.php?bsn=60030&snA=462122&tnum=8
10.Sonar技術對應WanaCrypt0r的測試(使用的資料庫為2017/01/24)
http://bbs.kafan.cn/thread-2089166-1-1.html
留言列表