Discussione: Attacco hacker Wannacry: ecco come è stato rallentato grazie ad un dominio da 10 dollari
View Single Post
Old 15-05-2017, 13:54   #37
Unrealizer
Senior Member
 
L'Avatar di Unrealizer
 
Iscritto dal: May 2006
Città: Milano&Palermo
Messaggi: 10273
Quote:
Originariamente inviato da Mars4ever Guarda i messaggi
Ho provato ma è un po' difficile, mi pare che la spiegazione sia qui:

Ma comunque non ne capisco il senso, a che serve questo meccanismo?


Idem con patate. È chiara la prima parte ma cosa sono questi tool di analisi?
Quando salta fuori un malware, i vari ricercatori di sicurezza, come il ragazzo in questione, cercano di ottenerne un campione da analizzare in un ambiente controllato: hanno delle macchine virtuali, ben isolate, il cui scopo è venire infettate in modo da vedere il comportamento del malware

Una delle tecniche di analisi più comune è quella di redirigere tutto il traffico di rete verso una macchina controllata dal ricercatore in modo da poter analizzare cosa effettivamente faccia: è così che si sono accorti che wncry tentava di contattare quel dominio non registrato (infatti nel link in prima pagina spiega che in questi casi è prassi normale registrare il dominio e farlo puntare a un sinkhole, un server controllato "dai buoni" che si comporta come un buco nero in cui tutto il traffico dei malware va a morire.

Una delle conseguenze di questa tecnica è che tutte le richieste ai DNS ottengono risposta, anche quelle verso domini che non esistono.

La logica di quel virus era "so che questo dominio non esiste, quindi se mi risponde vuol dire che sto girando in sandbox! annulla tutto così non possono analizzarmi!"

Il problema è che è stato fatto con il , infatti altri malware più avanzati provano con un tot di domini totalmente random, e se rispondono tutti, soprattutto se con lo stesso IP, si disattivano

Questo qui invece usava un unico dominio e per giunta scritto proprio nel codice, è bastato registrarlo per far credere a tutte le copie in giro di essere in sandbox

Quote:
Originariamente inviato da tallines Guarda i messaggi
Ha fatto bene il ragazzo di 22 anni a capire il problema .

Se non lo avesse fatto, se non si fosse accorto che qualcosa non andava.......forse i risultati sarebbero stati peggiori .

Bravo
Nell'articolo dice che ha scoperto solo dopo questo comportamento (l'analisi statica è un'operazione che richiede tempo), infatti anche lui dice che l'ha bloccato accidentalmente proprio perché è stata un'operazione di routine (la registrazione del dominio) che si fa durante l'analisi a bloccare tutto

Quote:
Originariamente inviato da Alessio.16390 Guarda i messaggi
Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.
non si spaccia per nulla, è semplicemente arrivato al momento giusto
leggi l'articolo iniziale

si, stanno già spuntando altre varianti mutate

e si, si fa pubblicità, nel campo della sicurezza funziona così
__________________
PC9Ryzen 9 3900X64GB Vengeance LPXGigabyte RTX3080TiCorsair MP600Aorus Elite X570 - PC10SQ216GB LPDDR4256 GB SSDSurface Pro X - PC11Core i9-9980HK64GB DDR4512GB SSDMacBook Pro 2019 - xboxlivekipters - originkipter - steamkippoz - psnkipters
Unrealizer è offline   Rispondi citando il messaggio o parte di esso
 
1