Log for 網路攻防戰~資安閒聊群組

標題：WanaCrypt0r 2.0 危害太大，微軟破例為Windows XP、Vista、8推出重大安全更新

摘要：
WanaCrypt0r 2.0勒索病毒讓許多用戶真的「想哭」，而還沒有中招的使用者也人心惶惶，特別是Windows XP、Vista等微軟已經停止官方支援的用戶。不過，由於此次災情驚人，微軟破例佛心為這些已經停止支援的系統推出了安全更新。

現在你到微軟的安全性更新KB4012598頁面下，可以發現微軟已經連這些舊系統的安全更新都準備好，提供給使用者下載。（Windows 7在三月份KB4012215安全更新就已經修補漏洞，因此不在此頁面）

安全性更新 KB4012598：
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

引用來源：
http://www.techbang.com/posts/51119-wanacrypt0r-20-too-great-harm-microsoft-make-an-exception-for-the-windows-xp-vista-8-launched-a-major-security-update

標題：HP 電腦內藏鍵盤側錄程式

摘要：
安全研究Modzero發現HP電腦的音效卡內藏鍵盤側錄程式，可錄下用戶所有按鍵動作，導致密碼等機密資訊遭竊取。

問題出在HP電腦中由美國IC設計業者科勝訊（Conexant）所生產的音效晶片驅動程式。驅動程式內含的可執行檔MicTray64.exe原本的功能是在用戶執行特定按鍵動作，例如啟動、關閉麥克風及錄音時做出回應。這個程式可能是專為HP電腦特製。

研究人員並呼籲所有HP電腦用戶都應立即檢查電腦中是否安裝了C:\Windows\System32\MicTray64.exe 或C:\Windows\System32\MicTray.exe，如果有的話應立刻刪除或重新命名，讓它無法再錄下鍵盤動作，但是這麼做也會損壞特定鍵盤動作的音效。

受影響的 HP 型號：
https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt

原始資料：
https://www.modzero.ch/modlog/archives/2017/05/11/en_keylogger_in_hewlett-packard_audio_driver/index.html

引用來源：
http://www.ithome.com.tw/news/114136

標題：美俄衝突波及卡巴斯基，美情報頭子稱恐遭利用發動網路攻擊

摘要：
國防情報局局長Vincent Stewart回應表示，正在密切追蹤卡巴斯基公司與其產品，同時表示政府網路中並未使用卡巴斯基產品，但與情報工作有關的外包商有無使用卡巴斯基，則很難確知。

其他情報單位主管，包括國家情報總監、中央情報局局長、FBI代理局長，以及國家地理空間情報局局長，加上上述兩名、總計六名美國情報機關首長，全都表示並不信任來自俄羅斯的卡巴斯基防毒軟體。

美國媒體本周稍早開始報導，美國政府官員對於俄羅斯間諜活動可能透過卡巴斯基資安防護軟體做為跳板，針對美國公民或在美國本土發動安全攻擊，越來越感到擔憂。

卡巴斯基公司創辦人暨執行長 Eugene Kaspersky 親自出面澄清：
https://usa.kaspersky.com/about/press-releases/2017_Statements-Regarding-the-US-Senate-Select-Committee-on-Intelligence-Hearing-Referencing-Kaspersky-Lab-on-May-11-2017

引用來源：
http://www.ithome.com.tw/news/114138

標題：Windows 10 秋季更新：Windows 子系統將可執行 SUSE Linux 或 Fedora

摘要：
Windows 10 Fall Creators Update中，將允許使用者藉由Windows Store下載Ubuntu、SUSE Linux與Fedora等Linux版本，另也將透過Microsoft Graph替Windows、Android及iOS帶來共享經驗。

Windows 10 Fall Creators Update預計於今年秋天出爐，使得Windows 10 成為唯一可同時執行Windows及Linux程式的平台。

微軟是在去年的Build開發者大會宣布，已於Windows 10上替Linux建立一個子系統，並由Canonical於該子系統上提供了原生的Ubuntu環境，讓Windows用戶不必安裝虛擬機器就能執行支援各種Linux版本的Bash命令。

原始資料：
https://blogs.windows.com/windowsexperience/2017/05/11/build-2017-sparking-the-next-wave-of-creativity-with-the-windows-10-fall-creators-update/

引用來源：
http://www.ithome.com.tw/news/114139

標題：花 8.29 英鎊拯救世界，WannaCrypt 勒索病毒中場休息

摘要：
WannaCrypt 的這波猛烈攻擊在英國一位資安研究員註冊了某個網域後意外停止了。

經營 MalwareTech 部落格的一位英國 22 歲年輕資安研究員分享他意外拯救世界的經過：

https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

在 WannaCrypt 災情傳出後，MalwareTech 取得在英國健保署肆虐的 WannaCrypt 勒索軟體樣本準備進行研究，丟進隔離環境執行時，發現 WannaCrypt 會一直嘗試存取某個未註冊的網域名稱。

有趣的是，註冊網域名稱生效後，他接到其他研究員詢問，表示樣本似乎出了問題，已無法重現感染行為。


引用來源：
http://blog.darkthread.net/post-2017-05-14-reg-domainname-stop-wannacrypt.aspx

不是已有新種？

是的１

標題：WannaCrypt 勒索病毒的逆向分析

摘要：(以下採用引用來源簡體中文的描述)
WannaCry木馬利用前陣子洩漏的方程式工具包中的“永恆之藍”漏洞工具，進行網絡端口掃描攻擊，目標機器被成功攻陷後會從攻擊機下載WannaCry木馬進行感染，並作為攻擊機再次掃描互聯網和局域網其他機器，行成蠕蟲感染大範圍超快速擴散。

木馬母體為mssecsvc.exe，運行後會掃描隨機ip的互聯網機器，嘗試感染，也會掃描局域網相同網段的機器進行感染傳播，此外會釋放敲詐者程序tasksche.exe，對磁盤文件進行加密勒索。


逆向分析步驟，請參考 2 個引用來源資料。


引用來源：
WannaCry蠕蟲詳細分析
http://www.freebuf.com/articles/system/134578.html

首發| Wannacry勒索軟件母體主程序逆向分析（含臨時解決方案自動化工具）
http://www.freebuf.com/vuls/134602.html

道高一尺、魔高一丈！

變種改版後的 WannaCry 2.0 註冊網域這個方法就沒效了！

請參考：http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

台灣電腦網路危機處理暨協調中心-TWCERT/CC

在勒索病毒肆虐時上班第一天要做什麼？

https://www.facebook.com/notes/%E5%8F%B0%E7%81%A3%E9%9B%BB%E8%85%A6%E7%B6%B2%E8%B7%AF%E5%8D%B1%E6%A9%9F%E8%99%95%E7%90%86%E6%9A%A8%E5%8D%94%E8%AA%BF%E4%B8%AD%E5%BF%83-twcertcc/%E5%9C%A8%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E8%82%86%E8%99%90%E6%99%82%E4%B8%8A%E7%8F%AD%E7%AC%AC%E4%B8%80%E5%A4%A9%E8%A6%81%E5%81%9A%E4%BB%80%E9%BA%BC/1948376925392043/?qid=6419916226753238093&mf_story_key=2015514281336690048