帖子内容
淺看「TaiwanSupplyChainAttack 取證數據庫」 (2/6) 在看了一堆意義不明且空泛的 system dump log 之後,我決定來看第二項指控 2. 通訊基礎設施攻擊 透過中華電信網路架構進行系統性攻擊: - 行動通訊網路(4G/5G eNodeB基站) - 公共/企業WiFi熱點 - 家用寬頻網路 - 網咖網路環境 此攻擊基礎設施已實現 全台範圍設備感染,具備持續性監控、資料竊取及遠端控制能力。 台灣地區目前電腦 與 網路下載檔案的實際情形 已利用 「Windows 螢幕錄影」將畫面上傳至 YouTube 頻道:@iamontou1023 https://youtu.be/K7IQyfpk4Tc?si=_uLom-bZ-Bf89_eD 然後我浪費我生命八分鐘看這奇怪的操作,打開 FireFox 瀏覽器,然後把 DNS 改成 Cloudflare DoH 接著強制瀏覽 HTTPS,接著下載 gmer 文件顯示 HTTPS 錯誤不安全,接著又到 majorgeeks 下載 malwarebytes 的 Anti-Rootkit 工具被轉跳到廣告頁面,接著又在 majorgeeks 中尋找 kaspersky 的 TDSSKiller 在卡巴斯基官網中顯示 404 畫面一轉又到 GitHub 下載 OpenArk,FireFox 提示含有病毒,並將檔案上傳到 VirusTotal 掃描說檔案被動過手腳...之類的操作。 看完只覺得我想討回我這八分鐘。 1. 為何 FireFox 開啟 Cloudflare DoH 以及僅允許 HTTPS 後,gmer.net 會顯示不安全。 > 人家根本沒開 https 當然不安全(下面附圖) 2. 在 majorgeeks 下載 Anti-Rootkit 轉跳到廣告頁面? > 無法復現 > 重新測試後發現是被我的檔廣告軟體擋住了,是 malwarebytes 對子網域 downloads.malwarebytes.org 沒有做好 301, 302 轉跳處理 經調查 malwarebytes 在 2016 將網址從 .org 換成 .com 而在那之前檔案下載服務外包給 StackPath 一家 CDN 公司,該 CDN 公司在 2019 賣給其他公司,因此因為年代久遠配置不得宜導致沒有 301, 302 到 .com 去 3. OpenArk 下載顯示有病毒 > 這類工具經常被誤判,同時防毒軟體在多種情況下誤判也很正常 FYI https://github.com/BlackINT3/OpenArk/issues/175 4. PC Hunter 病毒 > 同上 5. 火絨安全有毒 > 同上 6. PSTools 有毒 > 同上,順便補充微軟中間有一行紫色提示框框 Some anti-virus scanners report that one or more of the tools are infected with a "remote admin" virus. None of the PsTools contain viruses, but they have been used by viruses, which is why they trigger virus notifications. 7. Sysinternals 有毒 > 同上 8. 7-zip.org 有毒 > 同上 補充資料: https://forums.malwarebytes.com/topic/195557-did-malwarebytes-forum-change-its-domain/