本文地址：http://www.moepc.net/?post=4290

据AV-Test实验室报告称，通过分析病毒库他们发现自从1月7日至1月22日之间，利用Meltdown和Spectre的恶意软件样板已达119个，并预计接下来特殊木马、下载器和后门的数量还会攀升。

比如VirusTotal上的这个.EXE恶意软件，运行的首行恶意代码就是通过CMD使用WINAPI运行“IsProcessorFeaturePresent”，很明显是在试图收集CPU信息，为了入侵系统。【会返回各项关于处理器的信息的值，比如各项指令和功能的支持/启用情况】

这些样本中有可以在Linux上运行的，也有Windows的。

比如bashware，可以通过Windows System for Linux (WSL)在Windows上运行Linux才能运行的代码，反病毒软件无法有效防范这类混合系统中的恶意软件。还例如通过浏览器运行恶意JavaScript代码，尽管各家都有放出新的打了补丁的浏览器版本，总是有人不会去更新，这就很危险了。

如何确认系统是安全的呢？

可以通过更简单的InSpectre 图形化界面：https://www.grc.com/inspectre.htm

下载地址：https://www.grc.com/files/InSpectre.exe

也可以通过Windows PowerShell来确认

操作系统版本要求：
Windows 10 (RTM, 1511, 1607, 1703, 1709)
Windows 8.1
Windows 7 SP1

安装2018年1月3日的安全更新


然后运行PowerShell，下载模块

Import-Module PowerShellGet

安装PowerShell模块
PS > Install-Module SpeculationControl

运行PowerShell模块，验证保护是否启用
PS > Get-SpeculationControlSettings

会显示如下代码：
PS C:\> Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True


是True的就代表开启了。完全修复需要全部为Ture，AMD处理器不需要修复Meltdown [CVE-2017-5754，rogue data cache load]，所以VA shadowing为False，下面也不会显示。

Fortinet发现的恶意软件签名：

Riskware/POC_Spectre
W64/Spectre.B!exploit
Riskware/SpectrePOC
Riskware/MeltdownPOC
W32/Meltdown.7345!tr
W32/Meltdown.3C56!tr
W32/Spectre.2157!tr
W32/Spectre.4337!tr
W32/Spectre.3D5A!tr
W32/Spectre.82CE!tr
W32/MeltdownPOC

本文地址：http://www.moepc.net/?post=4290

via：blog.fortinet.com

avlab.pl

MOEPC.NET整理编译，转载请保留出处。

WRITTEN BY

搜索