数码科技

目前被检测到的Meltdown、Spectre恶意软件样本已达上百个

本文地址:http://www.moepc.net/?post=4290

据AV-Test实验室报告称,通过分析病毒库他们发现自从1月7日至1月22日之间,利用Meltdown和Spectre的恶意软件样板已达119个,并预计接下来特殊木马、下载器和后门的数量还会攀升。

点击查看原图

比如VirusTotal上的这个.EXE恶意软件,运行的首行恶意代码就是通过CMD使用WINAPI运行“IsProcessorFeaturePresent”,很明显是在试图收集CPU信息,为了入侵系统。【会返回各项关于处理器的信息的值,比如各项指令和功能的支持/启用情况

点击查看原图

这些样本中有可以在Linux上运行的,也有Windows的。

比如bashware,可以通过Windows System for Linux (WSL)在Windows上运行Linux才能运行的代码,反病毒软件无法有效防范这类混合系统中的恶意软件。还例如通过浏览器运行恶意JavaScript代码,尽管各家都有放出新的打了补丁的浏览器版本,总是有人不会去更新,这就很危险了。



如何确认系统是安全的呢?


可以通过更简单的InSpectre 图形化界面:https://www.grc.com/inspectre.htm


下载地址:https://www.grc.com/files/InSpectre.exe


img004.png

也可以通过Windows PowerShell来确认

操作系统版本要求:
Windows 10 (RTM, 1511, 1607, 1703, 1709)
Windows 8.1
Windows 7 SP1

安装2018年1月3日的安全更新

然后运行PowerShell,下载模块

Import-Module PowerShellGet


安装PowerShell模块
PS > Install-Module SpeculationControl

运行PowerShell模块,验证保护是否启用
PS > Get-SpeculationControlSettings

会显示如下代码:
PS C:> Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True

是True的就代表开启了。完全修复需要全部为Ture,AMD处理器不需要修复Meltdown [CVE-2017-5754,rogue data cache load],所以VA shadowing为False,下面也不会显示。

Fortinet发现的恶意软件签名:

Riskware/POC_Spectre
W64/Spectre.B!exploit
Riskware/SpectrePOC
Riskware/MeltdownPOC
W32/Meltdown.7345!tr
W32/Meltdown.3C56!tr
W32/Spectre.2157!tr
W32/Spectre.4337!tr
W32/Spectre.3D5A!tr
W32/Spectre.82CE!tr
W32/MeltdownPOC



本文地址:http://www.moepc.net/?post=4290

via:blog.fortinet.com

avlab.pl

MOEPC.NET整理编译,转载请保留出处。

剧毒术士马文

留学中 Comp.Arch|RISCV|HPC|FPGA 最近沉迷明日方舟日服 联系方式请 discord 或者 weibo 私信。目前不在其他平台活动。 邮箱已更新为[email protected]。 看板娘:ほし先生♥

相关文章

7 评论

  1. 我們這些還停留在ivb、hsw的破電腦就不要指望有什麽補救方法了

    1. @liubeixi:补救倒是有,系统补丁和浏览器补丁是都能用的
      只是BIOS的微码补丁就gg了…至少Haswell还有点希望
      老架构性能损失稍微大点

      1. @剧毒术士马文:3820打上windows10系统补丁之后
        传输扫描的图片超过200张之后机械硬盘占用100%……
        这已经是muther fvck级别了……

          1. @剧毒术士马文:仓库盘换ssd,换不起,换不起

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

返回顶部按钮