web-dev-qa-db-ja.com

Wanna Cryはどのようにしてウイルス対策プログラムを通過したのですか

WannaCryウイルスがヒットしたときにWindowsコンピュータを持っていた人にとって、ウイルスはどの程度正確にウイルス対策プログラムをバイパスしましたか。私はこれについていくつかの論文を読み込もうとしましたが、その窓の穴がウイルスがウイルス対策ソフトウェアをどのように回避するのにどの程度役立ったかはわかりません。これは、ウイルス対策ソフトウェアを持っていない人々の問題なのでしょうか、それともこのウイルスが何らかの形でそれを回避したのでしょうか?

1
ilikeyoyo

AVPのバイパスは simpleregardless of what is広く believed

「従来のアンチウイルス」の問題は、Wanancryの場合のように、エクスプロイトまたはメモリ内のマルウェアを検出しないことです。 SMBあなたが説明した「穴」は、EternelBlue(エクスプロイト)を介してリモートで実行され、マルウェアの一部をメモリ内で実行しました つまり

メモリスキャン機能とエクスプロイト検出を備えた次世代のエンドポイント保護を使用する場合を除いて、EternalBlueエクスプロイトを使用して増殖する新しいマルウェアから保護することはほとんど不可能です。プレミアム機能のない、またはデフォルトで設定された従来のアンチウイルスは、EternalBlueの悪用をブロックしません。

Hererは典型的なWanancry実行フローです。

enter image description here

0
Soufiane Tahiri

ウイルス対策ソフトウェアは通常、次の2つの方法でマルウェアの脅威を検出します。

  • 署名ベースの検出
  • ヒューリスティック検出

ウイルス対策ソフトウェア製品には、WannaCryのウイルス定義またはシグネチャがありませんでした(以前は検出されなかった脅威)が、新たに作成されたマルウェアであることが以前には見られなかったためです。したがって、シグネチャベースの検出はすべて回避されました。

ヒューリスティック検出は、バイナリのアクティブな実行を監視することに依存しています。たとえば、アンチウイルスが、システム上の実行可能ファイルをスキャンして変更または追加するウイルスを観察した場合、そのバイナリにマルウェアまたは疑わしいフラグを立てます。 WannaCryが機能する方法は、Windows上の特定の暗号化ライブラリにアクセスし(キーの生成プロセスとその後の暗号化のため)、次にDOCX、XLSX、JPGなどの一般的なドキュメントファイルタイプをスキャンして暗号化することです。ウイルス対策ヒューリスティックエンジンは、これを典型的なマルウェア感染として検出できません。ランサムウェアの動作を近い将来監視することにより、ランサムウェアを停止するヒューリスティック機能を追加する可能性があります。例: https://www.wired.com/story/shieldfs-ransomware-protection-tool/

また、あなたが言及したように、ヒットした多くのユーザーが適切に更新された効果的なウイルス対策ソリューションを使用していなかった可能性があります。彼らがソフトウェアの更新に熱心だった場合、彼らはWindows OSを更新し、MS17-010 Eternal Blueの脆弱性に対するパッチを持っているでしょう。

1
whoami