2014年12月25日 星期四

TRIZ系統性創新(一)

http://www.tjcxff.com/userup/091/0710372841.jpg
TRIZ創始人Genrich S. Altshuler
  談到「創新」這個名詞(我覺得更應該是動詞),總會讓我們聯想起靈光乍現的剎那,就像不曾交集的電線碰觸後突然蹦出的火花,或是一具年久失修的引擎在晃動後不經意轉動的驚喜,總之,那是一個會讓我們驚喜的瞬間,一個忽然滿室香氛清高氣爽的時刻,但是這樣的機會往往得來不易,我們急切的渴求創新,卻往往索盡枯腸、絞盡腦汁後換得一片尷尬靜寂或聲聲長嘆,因此對於大部份的人來說,「創新」就像一頂沉重的大帽,愈是強求就愈令人喘不過氣來,最終窒息了我們大腦深處裏那一道微弱的光芒。
  哎,那麼到底有沒有一種公式或工具,可以方便的快速的產生創新的方法或提供創新的idea?讓我們空白的腦袋瓜得到救贖的機會?
    是的,的確有個叫作TRIZ的系統,你相信嗎?只要輸入問題,它就可以幫你產生創意的解決想法;這個由俄國人Altshuller(國內翻為阿舒勒)所發明的系統號稱可以作到這點,他的作法是萃取並匯整歸納眾人長年所累積的發明經驗,透過篩選世界最具創意的二十萬個專利,經過研究分析歸納而得到一個具有系統性的創新產生方法,任何人只要使用這個方法便可產生有價值的創新解決方案,後來這個系統方法被稱為TRIZ。
    本文是我在11/21上課的心得,除了摘錄了部份上課的講義,我另外還參考了「TRIZ創新的科技」一書,整理在下文中,希望能讓大家一窺TRIZ的奧秘並對於TRIZ的作法有些概念,在最後我會舉個例子作為範例;由於這次的上課僅六小時,因此在本文中我也僅能針對TRIZ的觀念及用法作基本的介紹,但是這些觀念或步驟,相信足夠讓我們用來作為日常的TRIZ練習使用。
  我覺得TRIZ最大的功用是協助我們針對某個特定問題導向一個明確的思考方向,讓我們不需要天馬行空或漫無目的的空想,而且最重要的是,TRIZ可以強迫我們先針對問題本身進行深度的思考和拆解,再導入系統得出可能解決方案,不過TRIZ所給予的解決方案並不是一個非常明確的解答,事實上它是另一個需要我們再進行腦力的激盪與發揮的思考問題,完成這個問題之後的答案才是TRIZ的最佳解答。所以換句話說,透過TRIZ,我們以迂迴而非直接的方式,先思考並分析問題,再針對可能的解決方案進行創意的發想,TRIZ最大的好處是,提供給我們一個思考方向以避開漫無目的或無邊無際的空想,提昇創意產生的效率。

TRIZ的由來

    TRIZ是俄文首字的縮寫,直接翻譯為中文是「創造性問題解決的理論」的意思,這位前蘇聯的發明者Altshuller他深信人類所累積的科技發展與經驗可以協助人們再次進行創新,而一般人若想要單靠著創造力和想像力,迅速即時的產生各種有效、高效率且高品質的創造發明,這是相當困難的,他想到,就在幾個世紀前,人類便開始透過專利這個工具來記載說明各項發明及創新,因此,若我們分析這些專利,必然可以發現成千上萬的技術開發人員和科學家們如何去解決複雜問題,於是,基於這個想法,他搜集了二十萬項專利並篩選出其中四萬項具有創意性解決方案的專利,其餘的十六萬項則是屬於小幅的改進。
    的確,人類在碰到問題時,都會去思考最佳的解答與解決方式,從而找到創意的來源,因此任何的創意與發現,都發源自一種具有創意問題的產生,為了要建構這個TRIZ系統,Altshuller定義一個具有創意性的問題應該是:過程中或產品其中的一個參數變化會與另一個參數發生衝突,這個衝突,這個衝突在TRIZ中稱之為「系統矛盾」(system contradiction)。
Altshuller分析數以千計的產品及製程問題,定義了39個最常導致系統矛盾的主要參數,這些參數會導致系統之間的矛盾和衝突,也就是問題的來源;不過有了問題之後,我們就需要問題的解決方法,於是Altshuller又發現,經由不同的參數或系統矛盾所產生相同的問題,事實上可使用相同的手法來解決,於是他又歸納出了四十種不同的解決方法,稱之為發明原理,這39個系統矛盾與40個發明原理所形成的一個矩陣表,我們稱為TRIZ工具。

TRIZ Contradiction Matrix(TRIZ矛盾矩陣表)

    利用上述提到的39個矛盾參數與40個發明原理,Altshuller設計出一個矩陣表稱為TRIZ Contradiction Matrix,X軸為「Worsing Parameters」(惡化系統參數),Y軸為「Improving Parameters」(改進的參數),這兩個軸分別由39個矛盾參數組成,中間X與Y相對應的格子則分別對應到不同的40個發明原理,因此,我們只要輸入不同的惡化與改進參數,便可得到不同的創新發明方向。
    TRIZ矛盾矩陣表可以在網路上透過「TRIZ matrix xls」關鍵字來尋找並下載,例如在這裏:http://innovation-triz.com/TRIZ40/TRIZ_Matrix.xls,請先下載並打開它,它應該長得類似這樣:
http://images.tribe.net/tribe/upload/photo/44d/a00/44da0013-1f30-4172-83b0-35ea50f0504b
    TRIZ矩陣圖的使用步驟是:
  1. 模式化問題,將你打算解決的問題表示為:
IF 欲採用的改善手段 THEN 參數a可改善  BUT 參數b會惡化
  1. 將參數a與b轉換到矛盾參數
  2. 使用TRIZ矩陣圖求解
下面我用一個欲尋求創新改善的問題作為範例來說明這個矩陣圖的用法:
問題點:傳統自行車坐墊的受力面積小,坐起來不但不舒適且影響健康,為了解決此問題,需加寬坐墊面積,但卻會妨礙到腳的活動。
接下來我使用TRIZ來示範解決此問題的步驟:
  1. 模式化問題:將我們的問題轉換成如下的格式
IF 增加坐墊面積 THEN 舒適度改善(OR 較小壓力)  BUT 腳會難以移動
  1. 將參數a與b轉換到矛盾參數
  這部份我覺得是頗具難度,需要有豐富經驗以及聯想力才能準確完美的對應到正確的參數,因為要將各種不同的實體概念轉換成為39個既定的抽象參數,等於是要將千變萬化不同的場景濃縮歸納為39種範本,這部份對於剛接觸TRIZ的人員來說相當有挑戰性。
  請你打開剛剛下載的矛盾矩陣表,X軸和Y軸都各有相同的39項矛盾參數,而在上述的範例中,我們透過「加寬坐墊面積」這個方法會造成的改進是舒適度改善以及較小的壓力,比對了表格中的39種矛盾參數,我們認為比較適合的是第33項的「Usability容易操作使用」以及第11項的「Stress or pressure應力或壓力」。
  另外我們還需要輸入一個參數:惡化系統參數,在上述範例中是「妨礙腳的移動」,我們再比對一下矛盾參數列表,我們選擇了第12項「Shape」形狀,這點可能會讓人匪夷所思,為什麼妨礙腳的移動和形狀有關?我的理解是,因為比對了所有參數並無更加適合的選項,而且這個妨礙腳移動的惡化,我們可視為是一種對於腳部的移動形狀改變,可視為一種形狀的改變,因此故選擇12。
  1. 使用TRIZ矩陣圖求解
所以我們已經有了X軸(惡化系統參數)以及Y軸(改進的參數)兩種值,我們把它們套進TRIZ矩陣圖來求解,對應後分別得到15, 34, 29, 28以及35, 4, 15, 10,這八個數值,就是40種創新發明原理之一,我們可以將創新的idea與想法,集中在這八項發明原理上。

透過矩陣表所對應出的八項創新發明原理分別是:
4            Asymmetry         非對稱原理
10        Preliminary action    預先行動原理
15        Dynamisation        動態化原理
28        Mechanical interaction substitution    取代機械原理
29        Pneumatics and Hydraulic    氣動或液壓
34        Rejecting and regenerating parts    拋棄與再生元件
35        Parameter changes    性質轉變原理
最後,依TRIZ所提供的這八種創新原理,某個同仁經由第15項的動態化原理這個方向,想到了可以設計一種ABS Sport坐墊,它不但可以擴大坐墊面積,且由於採用動態分離的方式,讓左右兩邊的坐墊可以分開活動,因此坐墊不但變大了坐起來舒適,最重要的是也不會妨礙到腳的移動。
發明原則
情境
例子
15
Dynamisation
動態化原理
  • 可調整
  • 可拆式
  • 可折疊
  • 活動式
  • 增加活動程度
可折疊座椅、可彎曲吸管、蝴蝶型電腦鍵盤






        這是想像出來的效果:



使用TRIZ必須注意的重點:

    個人認為有三個重點在使用TRIZ系統時相當的重要,否則若一開始便偏離了問題的核心與要點,可能會感覺到在實作TRIZ的過程中無法帶來真正的效益:
  1. 找到正確的問題:先瞭解事情的本質,並且確定,我們所要解決的問題真的是問題嗎?
  2. 問題的衝突點就是創新的機會:衝突是進步的障礙,一切的進步障礙來自於衝突,找到真正的衝突點就找到創新的機會,TRIZ的矛盾矩陣表,就是利用這個原理。
  3. 能夠正確的分析與解釋、歸納39個矛盾參數與40個發現原則:這部份需要累積豐富的經驗與另一種層面的聯想與透過腦力激盪的引導來完成。
  

2014年12月18日 星期四

Sony Leak

    最近的Sony影視娛樂公司(Sony Pictures Entertainment)遭駭客入侵事件,可能是這個月來IT界最熱鬧的議題了,由於這次被駭的內容牽涉到影劇內幕八卦等等腥羶事件,因此隨即引來嗜好此類話題的八卦媒體們紛紛報導,我們當然也不能錯過這件牽扯到話題電影、知名影星、好萊塢、北韓駭客等精彩事件的資安新聞,一起來看看。

事件縁由

    11/24日星期一,全美Sony Pictures的員工上班時,發現他們的網路遭到入侵,數以Tera-Bytes計的個人檔案被拷貝後遭到刪除,駭客也在他們的電腦上秀出一張警告圖片:面目猙獰的紅色骷髏加上一大段署名#GOP駭客的警告文字,說他們已擁有該公司所有內部資料、包括最高機密,而這張圖只是開始而已,如果Sony未能遵照其指示行動,那麼在最後考慮期限24日晚間11點就會將特定資料公佈於圖中的數個連結網址。
    在公司被駭之後,Sony資訊部門立即將相關電腦主機下線、要求所有員工關閉PC並中斷所有行動裝置的Wi-Fi功能,再由高層要求所有員工立即離開辦公室改為在家上班,而且在短期內將無法連回公司網路,資訊部門接著公告需要一天至三周時間來解決這個問題(據說資訊部門大約花了一星期時間才將公司的資訊系統和網路運作回復正常)。
    駭客隨後透過P2P釋出了五部電影讓全球網友分享,其中有四部是尚未發行的新片,此外也釋出了數個文件檔,包含了大量的員工個人資料,包含姓名、生日、社會安全碼、健康儲蓄帳戶、地址、員工識別碼、網路帳號、生日與薪資…等等。
    由於這些未發行的電影劇本和母帶被放到P2P網路上被公開下載,內容包括了即將上映的耶誕大片「Annie」、還有「Mr.Turner」、「Still Alice」和「To Write Love on Her Arms」,讓Sony的損失難以估計,而影響最大的莫過於10/17首映、目前仍在美國院線上映的戰爭電影「怒火特攻隊」(Fury),該部影片從11/27被分享到網路迄今已被下載超過88.8萬次,Sony因此次事件而暫緩了部分電影的拍攝工作,內部的員工更人心惶惶擔憂個人資料外洩,而影劇圈與政界也是人人自危(因為據傳有一些電子郵件內容是關於攻擊美國總統歐巴馬和好萊塢影星如安潔莉納裘莉等人)。
  然而Sony面臨的危機至今還未解除,GOP駭客組織在12/18威脅宣稱,將為Sony送上聖誕大禮,在12/25公開更多竊取的機密資訊,

是不是北韓所為?

  對於這次的攻擊事件,有相當多的原因讓人懷疑是北韓所為,首先最主要的起因是Sony製作了一部喜劇電影「The Interview(國內譯為名嘴出任務,有些人則乾脆譯為刺殺金正恩),內容描寫了刺殺北韓領袖金正恩的情節,甚至於還有金正恩死亡的畫面,因而遭到了北韓義憤填膺的抗議,也因此外界普遍認為Sony這次很可能是因為這部電影得罪了金正恩。(如果您有興趣的話,可以點選左方的url看看其中文預告片。)
  第二個原因是攻擊的程式碼當中有部份是以韓文撰寫,第三則是南韓電視台在去年亦曾經遭受過類似的攻擊,因此外界大多懷疑北韓是這次攻擊行動的主謀者,但也有部份專家認為北韓為首謀的論點仍有可疑之處,他們的理由是:
  1. 北韓在兩天後立即否認了他們是這次事件的主謀者(但也讚揚了駭客行為是替天行道大公大義之舉)。
  2. Sony在事件發生後立即求助聯邦調查局(FBI)展開調查,但FBI至今仍無法找到北韓有參與的直接證據。
  3. 很少會有國家層級的駭客行動會使用烈焰、骷髏等代表性圖案、或朗朗上口的組織代號如「和平衛士(Guardians of Peace)」來代表自己,甚至將攻擊內容與代號大剌剌公佈在受害者電腦上,這樣明目張膽行為多為個人或民間駭客組織的特色。
  4. 早在這次Sony Pictures遭受攻擊前,Sony所屬的PlayStation遊戲主機網路服務PlayStation Network,就已經連續好幾年持續受到非北韓的駭客組織攻擊並中斷服務,這次行為並不排除與之前的攻擊是同一批駭客所為。
  5. 這次的攻擊行動顯示出駭客對於Sony內部網路知之甚詳,事實上可能得益於內部員工的幫助,或者來自於去年Sony大舉裁員時心有不干的離職員工。
12/18補充:
  不過根據最新消息,美國FBI已於12/18認定這起Sony被駭事件是由國家資助的,朝鮮政府“集中參與了”對Sony影業發起的攻擊行為,且其破壞性遠超過美國本土以往所遭遇的任何駭客攻擊,但有關於朝鮮政府是否獲得了熟悉Sony電腦系統的內部員工協助這一問題,目前仍然無法確認。
  此外,Sony也取消了預定在聖誕節播放The Interview刺殺金正恩的計劃。

這個事件對於資訊部門的啟示

  1. 資安的預算與資源不能省:這是老調重提了,很多公司仍視資訊安全為不必要的花費,因為在沒有發生問題且風平浪靜的環境下經常讓人忘記它的價值,往往要等到發生資安事件後才想要亡羊補牢,但實際的損失往往比起需投入的資安成本更為鉅大,因此持續的更新病毒碼防毒引擎等以及投資軟硬體增加偵測效率都是必要的,要記住「資安人員沒事作」的情況可能就是最佳的投入成果,千萬不可因為沒有發生問題而刪減資安的費用。
  2. 僅有防火牆和防毒軟體是不夠的:很多中小企業總認為有了防火牆和防毒軟體之後便可高枕無憂了,但事實上,這兩種設備所能處理的是駭客之手已伸入公司內部的事後阻擋動作,我們還需要依賴IPS設備來偵測網路上是否有不正常的登入或可疑存取動作,在駭客準備要竊取資料之前就進行阻擋並通知系統管理人員。
  3. 企業內部的資訊安全:其實根據研究報告指出,資訊安全的最大威脅並非來自駭客或病毒,而是惡意或粗心、無意或有意的企業內部員工,像這次Sony遭駭事件中惡意程式是如何進入Sony Pictures內部的?若員工是無意的,那麼有可能是經由Email附檔、各種形態的網路下載、BYOD設備等在員工不知情的情況下進入企業內部網路。
事後多家的資安業者反解譯這次攻擊程式的Destover惡意程式,發現內含有一個純文字檔,裡面有超過10,000內部主機名稱及IP位址的對應資料,還含有許多可進入共享網路的使用者名稱與密碼,甚至還將憑證程式碼直接寫在樣本裡面,顯示出攻擊者早就已經做好網路偵察及滲透工作。
  1. 網路硬碟的防範:目前市面上的網路硬碟服務相當多元,知名的如DropboxBox、Google Drive、Microsoft OneDrive等等,它們幾乎都開放API讓程式人員可以開發各式不同的AP透過不同的裝置以不同的形態方式進行更方便的存取動作,良好的資安設備應能針對這些以不同形態提供各式服務的網路存取加以管理及偵測。
  2. 注意水滴式資料竊取(drip data exfiltration):WebSense北亞區技術總監莊添發曾在「企業投資APT解決方案前該思考的6個問題」一文中提到,駭客們最後能成功帶走資料,是因為採取低調方式,使用自訂的格式,一點一滴將資料傳送出去,這種方式稱為水滴式資料竊取(drip data exfiltration),它幾乎能成功繞過資料安全機制的監控,讓管理者毫無所覺。
  3. 多個網站或服務都使用同一組密碼的危險:這次駭客能夠突破不同的主機、平台及網段而取得各種資料,相信一般人的習慣「使用一組帳號密碼來存取所有的服務」建立了不小的功勞,但若要求不同服務有不同的密碼,這又與近來流行的SSO(Single SignOn)強調的方便性背道而馳,因此,企業在導入SSO之前必須作好規劃工作,能夠在已確定登入者身份之後,才能允許使用SSO功能,否則就不要肓目的導入SSO,雖然方便了使用者,但是風險卻是倍增。
  4. 企業內部個人資料的加密作業:在這次事件中有高達七千多筆的個人資料被竊取後慘遭刪除,包含了姓名、出生日期、薪資、社會安全號碼、email內容以及各項工作專案的資訊等等,這些個人資料以及工作檔案理論上是分佈在不同的平台及系統當中,為何可以同時且一併被竊取及刪除?這些穩私和重要資料在存入資料庫前是否有經過再次加密?都是資安上必須考量的課題。
  5. 如何補救?當企業的重要資料被放到網路上公開下載:如果是你像Sony一樣碰到這樣的問題,該怎麼補救?Sony現在想到的是採取以毒攻毒的方法:
第一種方法是以假亂真
既然駭客把重要的資料放到P2P網路上公開讓大家下載,那麼我們就大量的製造假冒可下載這些資料的假連結資訊到網路上,就可以降低可下載的網址被搜尋到的機會,而大部份的人在嘗試了多次仍找不到正確可下載的網址,那麼便有可能放棄不再搜尋下載。
        第二種方法是DDoS(denial-of-service)攻擊
DDoS是一種古老激進但卻很有效可以癱瘓主機服務的方法,因此針對那些那些可正常下載的網址,Sony打算透過租用亞馬遜AWS位於新加坡和東京的伺服器發動攻擊,但這個新聞馬上被亞馬遜方面否認了,否則一開先例還得了,往後亞馬遜AWS將成為駭客攻防的主戰場,永不得寧日,看來Sony得自行找尋電腦資源來發動這種攻擊了。

這個資安事件中駭客是如何進行的?

    最後,我們來看看趨勢科技在此次事件後針對駭客的手法所進行的分析;下面的資料引用自趨勢科技網站,文章簡要說明了這次駭客的作法,如果您有注意的話,在針對PC端的部份,文中提到了Sony內部所使用的防毒軟體是McAfee,不曉得駭客在侵入之前是否已經知道了Sony內部使用的防毒軟體類型,所以有能力停止McAfee掃描程式的運作。






針對使用者PC端:

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL-infection-chain2-1.jpg
BKDR64_WIPALL.F停用McAfee服務
WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數(-a、-m、-d、-s)執行數個自身複本,其中包含其主要行為。
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL_fig1.png
圖1、BKDR_WIPALL.C的主要惡意軟體行為
值得注意的是BKDR_WIPALL.C會檢查受感染系統是否為64位元。如果發現是在64位元系統上執行,該惡意軟體會植入kph.sys(KProcessHacker驅動程式)和其元件ams.exe(偵測為BKDR64_WIPALL.F)。
我們注意到BKDR64_WIPALL.F用另一個位在其目前目錄的檔案來置換McAfee的即時掃描程式mcshield.exe,原本的mcshield.exe被放到system32目錄。接著,當McAfee服務執行,被置換的執行檔將被執行,而非正常的即時掃描元件,有效地停用防毒軟體運作。
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_2.jpg
圖2、BKDR64_WIPALL.F從註冊表服務列表中取得McShield.exe路徑:HKLM\CurrentControlSet\services\McShield

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL_fig2.png
圖3、BKDR64_WIPALL.F將正常mcshield.exe移動到System32目錄,並用位在惡意軟體目前目錄內的另一個mcshield.exe替換
BKDR64_WIPALL.F將KprocessHacker安裝為驅動程式服務,並用它來終止下列和McAfee防毒應用程式相關的程序(也列在上面的感染鏈中)。這是額外措施來確保惡意軟體順利執行。
  • exe
  • exe
  • exe
  • exe
  • exe
  • exe
  • exe
  • exe

根據我們的分析,惡意軟體BKDR64_WIPALL.F可能使用驅動程式服務,因為它擁有比一般使用者模式應用程式具備更高的權限。這是為了確保程序會被終止。
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL_fig4.png
圖4、BKDR64_WIPALL.F安裝KProcessHacker元件(kph.sys)為服務驅動程式 
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL_fig6.png
圖5、BKDR64_WIPALL.F用內建的McAfee防毒軟體相關程序列表來檢查所有正在運行的程序

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL_fig6.png
圖6、它使用KprocessHacker服務驅動程式作為裝置元件來終止程序

追溯#GOP
這起攻擊和我們之前文章所討論到的都可以追溯到名為#GOP或「Guardians of Peace」的駭客團體。
BKDR_WIPALL.A感染鏈(透過其元件BKDR_WIPALL.E)會帶來利用檔案back.jpgindex.wav展示訊息的HTML檔案。這些都被加密並嵌入於元件iissvr.exe(偵測為BKDR_WIPALL.E)。
同樣地,BKDR_WIPALL.D的感染鍊(透過其元件BKDR_WIPALL.C)用植入的圖片檔walls.bmp展示#GOP訊息。
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL_fig7-1.png
圖7:上圖:BKDR_WIPALL.C植入walls.bmp;
下圖:BKDR_WIPALL.E所載入HTML檔的捲動訊息

趨勢科技的另一篇分析:

美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。
下面是趨勢科技的調查分析結果:
BKDR_WIPALL惡意軟體分析
我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/WIPALL-infection-chain2.jpg
這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_1.jpg
圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼
這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_2.jpg
圖2、惡意軟體登入到網路的程式碼片段 
植入的net_var.dat包含目標主機名稱列表:
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_3-2.jpg
圖3、目標主機名稱

下一個相關的惡意軟體是igfxtrayex.exe(偵測為BKDR_WIPALL.B),由BKDR_WIPALL.A所植入。在它進行真正的惡意行為前會先休眠10分鐘(或如下所示的600,000毫秒):

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_4.jpg
圖4、BKDR_WIPALL.B(igfxtrayex.exe)休眠10分鐘

 http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_5-real.jpg
 圖5、加密的使用者名稱和密碼列表也出現在BKDR_WIPALL.B

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_5.jpg
圖6、Igfxtrayex.exe主要行為的程式碼片段(BKDR_WIPALL.B)

這個惡意軟體的行為除了會刪除使用者檔案外,還包括停止Microsoft Exchange Information Store服務。當它做完後,惡意軟體會再休眠兩個小時。接著強制系統重開機。

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_6.jpg
圖七、強制重開機的程式碼片段

它還會以下列參數執行數個名為taskhost{隨機2字元}.exe的自身複本:

  • taskhost{隨機2字元}.exe -w – 植入並執行元件Windows\iissvr.exe
  • taskhost{隨機2字元}.exe -m – 植入並執行Windows\Temp\usbdrv32.sys
  • taskhost{隨機2字元}.exe -d – 刪除所有固定式或遠端(網路)硬碟內的檔案

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_8-real.jpg
圖8、惡意軟體刪除在固定式和網路磁碟機內的所有檔案(格式 *.*)

惡意軟體元件被加密和儲存在以下資源:

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_7.jpg
圖9、BKDR_WIPALL.B惡意軟體元件

此外,BKDR_WIPALL.B存取它試圖覆寫的實體磁碟機:

http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_10-real.jpg
圖10、BKDR_WIPALL.B覆寫實體磁碟機
同的WIPALL惡意軟體家族,其變種BKDR_WIPALL.D植入BKDR_WIPALL.C,它接著會在Windows目錄中植入檔案walls.bmp。BMP檔如下圖所示:
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/12/wipall_wallpaper2.jpg
圖11、植入的桌布

這似乎跟最近11月24日的索尼被駭相關報導內描述的桌布相同,出現「Hacked by #GOP」。所以我們有理由相信這是和最近用於索尼影視(Sony Pictures)攻擊內相同的惡意軟體。

注意,BKDR_WIPALL.C也是植入和BKDR_WIPALL.D相同目錄的igfxtrayex.exe。