가짜 윈도우 업데이트

Question 1

일반 해커가 Windows Update 시스템을 통해 사용자에게 무언가를 보내는 것은 거의 불가능합니다.

하지만 당신이 들은 내용은 다릅니다. 윈도우 업데이트인 것처럼 보여서 설치하라고 하는 스파이웨어입니다. 그런 다음 설치를 클릭하면 관리자 권한을 요청하는 UAC 프롬프트가 나타납니다. 이를 수락하면 스파이웨어가 설치될 수 있습니다. Windows 업데이트에서는 UAC 권한 상승 테스트를 통과할 것을 요구하지 않습니다. Windows 업데이트 서비스는 가장 높은 권한을 가진 SYSTEM으로 실행되므로 이는 필요하지 않습니다. Windows 업데이트 설치 중에 표시되는 유일한 메시지는 사용권 계약을 승인하는 것입니다.

편집: 정부가 이 문제를 해결할 수 있기 때문에 게시물을 변경했지만 일반 시민으로서 어쨌든 정부로부터 보호할 수 있을지 의심됩니다.

Answer

일반 해커가 Windows Update 시스템을 통해 사용자에게 무언가를 보내는 것은 거의 불가능합니다.

하지만 당신이 들은 내용은 다릅니다. 윈도우 업데이트인 것처럼 보여서 설치하라고 하는 스파이웨어입니다. 그런 다음 설치를 클릭하면 관리자 권한을 요청하는 UAC 프롬프트가 나타납니다. 이를 수락하면 스파이웨어가 설치될 수 있습니다. Windows 업데이트에서는 UAC 권한 상승 테스트를 통과할 것을 요구하지 않습니다. Windows 업데이트 서비스는 가장 높은 권한을 가진 SYSTEM으로 실행되므로 이는 필요하지 않습니다. Windows 업데이트 설치 중에 표시되는 유일한 메시지는 사용권 계약을 승인하는 것입니다.

편집: 정부가 이 문제를 해결할 수 있기 때문에 게시물을 변경했지만 일반 시민으로서 어쨌든 정부로부터 보호할 수 있을지 의심됩니다.

Question 2

그래 그건 사실이야.

그만큼Flame 악성 코드Windows 업데이트 프로세스의 결함을 통해 사용자를 공격했습니다. 제작자는 Windows 업데이트 시스템에서 보안 허점을 발견하여 피해자가 맬웨어가 포함된 패치가 실제 Windows 업데이트라고 생각하도록 속일 수 있었습니다.

맬웨어의 대상은 자신을 방어하기 위해 무엇을 할 수 있습니까? 별로. 불꽃은 수년 동안 감지되지 않았습니다.

그러나 Microsoft는 이제 Flame이 Windows 업데이트로 자신을 숨길 수 있는 보안 허점을 패치했습니다. 즉, 해커는 새로운 보안 허점을 찾거나 Microsoft에 뇌물을 주어 업데이트에 서명할 수 있는 기능을 제공하거나 Microsoft에서 서명 키를 훔쳐야 합니다.

또한 공격자는 중간자 공격을 실행할 수 있는 네트워크 위치에 있어야 합니다.

이는 실제로 이것은 NSA와 같은 국가 공격자에 대한 방어를 고려할 때 걱정해야 할 문제일 뿐이라는 것을 의미합니다.

Answer

그래 그건 사실이야.

그만큼Flame 악성 코드Windows 업데이트 프로세스의 결함을 통해 사용자를 공격했습니다. 제작자는 Windows 업데이트 시스템에서 보안 허점을 발견하여 피해자가 맬웨어가 포함된 패치가 실제 Windows 업데이트라고 생각하도록 속일 수 있었습니다.

맬웨어의 대상은 자신을 방어하기 위해 무엇을 할 수 있습니까? 별로. 불꽃은 수년 동안 감지되지 않았습니다.

그러나 Microsoft는 이제 Flame이 Windows 업데이트로 자신을 숨길 수 있는 보안 허점을 패치했습니다. 즉, 해커는 새로운 보안 허점을 찾거나 Microsoft에 뇌물을 주어 업데이트에 서명할 수 있는 기능을 제공하거나 Microsoft에서 서명 키를 훔쳐야 합니다.

또한 공격자는 중간자 공격을 실행할 수 있는 네트워크 위치에 있어야 합니다.

이는 실제로 이것은 NSA와 같은 국가 공격자에 대한 방어를 고려할 때 걱정해야 할 문제일 뿐이라는 것을 의미합니다.

Question 3

Windows 업데이트 제어판을 사용하여 Windows 소프트웨어를 업데이트하십시오. 완전히 신뢰할 수 없는 사이트는 절대 클릭하지 마세요.

Answer

Windows 업데이트 제어판을 사용하여 Windows 소프트웨어를 업데이트하십시오. 완전히 신뢰할 수 없는 사이트는 절대 클릭하지 마세요.

Question 4

많은 답변에서 Windows 업데이트 프로세스의 결함이 Flame Malware에 의해 사용되었음을 올바르게 지적했지만 일부 중요한 세부 사항은 일반화되었습니다.

Microsoft 테크넷 '보안 연구 및 방어 블로그'에 게시된 이 게시물의 제목은 다음과 같습니다.Flame Malware 충돌 공격 설명

... 기본적으로 공격자의 인증서는 Windows Vista 또는 최신 버전의 Windows에서는 작동하지 않습니다. 그들은 Windows Vista 또는 최신 버전의 Windows에서 코드 서명에 유효한 인증서를 위조하기 위해 충돌 공격을 수행해야 했습니다. Windows Vista 이전 시스템에서는 MD5 해시 충돌 없이 공격이 가능합니다.

"MD5 충돌 공격" = 고도로 기술적인 암호화 마법 - 확실히 이해하는 척은 하지 않습니다.

Flame이 발견되어 공개되었을 때카스퍼스키가 공개한2012년 5월 28일, 연구원들은 이 취약점이 2007년부터 개발 중인 코드 베이스와 함께 최소 2010년 3월부터 실제로 작동해 왔다는 사실을 발견했습니다. Flame에는 여러 다른 감염 벡터가 있었지만 결론적으로 이 취약점은 몇 년 동안 존재했다는 것입니다. 발견되어 패치되기 전에.

그러나 Flame은 "국가" 수준의 작업이었고 이미 지적했듯이 일반 사용자가 3자 기관으로부터 자신을 보호하기 위해 할 수 있는 일은 거의 없습니다.

이블그레이드

Evilgrade는 사용자가 가짜 업데이트를 주입하여 열악한 업그레이드 구현을 활용할 수 있도록 하는 모듈식 프레임워크입니다. 빠른 침투 테스트를 위한 작동 기본 구성인 미리 만들어진 바이너리(에이전트)와 함께 제공되며 자체 WebServer 및 DNSServer 모듈이 있습니다. 새 설정을 쉽게 설정할 수 있으며 새 바이너리 에이전트가 설정되면 자동 구성됩니다.

프로젝트는 다음에서 호스팅됩니다.Github. 무료이며 오픈 소스입니다.

의도된 사용법을 인용하려면:

이 프레임워크는 공격자가 호스트 이름 리디렉션(피해자의 DNS 트래픽 조작)을 수행할 수 있을 때 작동합니다.

번역: 잠재적으로 귀하와 동일한(LAN) 네트워크에 있는 사람 또는 귀하의 DNS를 조작할 수 있는 사람... 여전히 기본 사용자 이름을 사용하고 linksys 라우터를 전달하는 사람...?

현재 itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer 등과 같은 이름으로 공격하는 63개의 서로 다른 "모듈" 또는 잠재적인 소프트웨어 업데이트가 있습니다. 이러한 모든 취약점은 해당 공급업체에서 패치했으며 "현재" 버전에는 해당 사항이 없지만 어쨌든 누가 업데이트를 수행합니까?

이에 대한 시연동영상

Answer

많은 답변에서 Windows 업데이트 프로세스의 결함이 Flame Malware에 의해 사용되었음을 올바르게 지적했지만 일부 중요한 세부 사항은 일반화되었습니다.

Microsoft 테크넷 '보안 연구 및 방어 블로그'에 게시된 이 게시물의 제목은 다음과 같습니다.Flame Malware 충돌 공격 설명

... 기본적으로 공격자의 인증서는 Windows Vista 또는 최신 버전의 Windows에서는 작동하지 않습니다. 그들은 Windows Vista 또는 최신 버전의 Windows에서 코드 서명에 유효한 인증서를 위조하기 위해 충돌 공격을 수행해야 했습니다. Windows Vista 이전 시스템에서는 MD5 해시 충돌 없이 공격이 가능합니다.

"MD5 충돌 공격" = 고도로 기술적인 암호화 마법 - 확실히 이해하는 척은 하지 않습니다.

Flame이 발견되어 공개되었을 때카스퍼스키가 공개한2012년 5월 28일, 연구원들은 이 취약점이 2007년부터 개발 중인 코드 베이스와 함께 최소 2010년 3월부터 실제로 작동해 왔다는 사실을 발견했습니다. Flame에는 여러 다른 감염 벡터가 있었지만 결론적으로 이 취약점은 몇 년 동안 존재했다는 것입니다. 발견되어 패치되기 전에.

그러나 Flame은 "국가" 수준의 작업이었고 이미 지적했듯이 일반 사용자가 3자 기관으로부터 자신을 보호하기 위해 할 수 있는 일은 거의 없습니다.

이블그레이드

Evilgrade는 사용자가 가짜 업데이트를 주입하여 열악한 업그레이드 구현을 활용할 수 있도록 하는 모듈식 프레임워크입니다. 빠른 침투 테스트를 위한 작동 기본 구성인 미리 만들어진 바이너리(에이전트)와 함께 제공되며 자체 WebServer 및 DNSServer 모듈이 있습니다. 새 설정을 쉽게 설정할 수 있으며 새 바이너리 에이전트가 설정되면 자동 구성됩니다.

프로젝트는 다음에서 호스팅됩니다.Github. 무료이며 오픈 소스입니다.

의도된 사용법을 인용하려면:

이 프레임워크는 공격자가 호스트 이름 리디렉션(피해자의 DNS 트래픽 조작)을 수행할 수 있을 때 작동합니다.

번역: 잠재적으로 귀하와 동일한(LAN) 네트워크에 있는 사람 또는 귀하의 DNS를 조작할 수 있는 사람... 여전히 기본 사용자 이름을 사용하고 linksys 라우터를 전달하는 사람...?

현재 itunes, vmware, virtualbox, skype, notepad++, ccleaner, Teamviewer 등과 같은 이름으로 공격하는 63개의 서로 다른 "모듈" 또는 잠재적인 소프트웨어 업데이트가 있습니다. 이러한 모든 취약점은 해당 공급업체에서 패치했으며 "현재" 버전에는 해당 사항이 없지만 어쨌든 누가 업데이트를 수행합니까?

이에 대한 시연동영상

가짜 윈도우 업데이트

답변1

답변2

답변3

답변4

이블그레이드

관련 정보