我聽說駭客可以透過 Windows Update 告訴你他們的惡意軟體是作業系統的更新,讓你下載他們的惡意軟體。這是真的嗎?如果是,我該如何保護自己?
答案1
普通駭客幾乎不可能透過 Windows 更新系統向您發送內容。
但你聽到的卻不同。它是間諜軟體,看起來像 Windows 更新並告訴您要安裝它。如果您隨後按一下“安裝”,則會彈出 UAC 提示,要求提供管理權限。如果您接受,它就可以安裝間諜軟體。請注意,Windows 更新絕對不會要求您通過 UAC 提升測試。這不是必需的,因為 Windows Update 服務以 SYSTEM 身份運行,具有最高權限。在 Windows 更新安裝過程中您收到的唯一提示是批准許可協議。
編輯:對帖子進行了更改,因為政府也許能夠實現這一目標,但我懷疑作為一個普通公民,無論如何你都可以防範政府。
答案2
對,是真的。
這火焰惡意軟體透過 Windows 更新過程中的缺陷攻擊使用者。它的創建者在 Windows 更新系統中發現了一個安全漏洞,使他們能夠欺騙受害者,讓他們認為他們的修補程式包含惡意軟體是真正的 Windows 更新。
惡意軟體的目標可以採取什麼措施來保護自己?不多。火焰多年來一直未被發現。
然而,微軟現在修補了允許 Flame 作為 Windows 更新隱藏自身的安全漏洞。這意味著駭客要麼找到新的安全漏洞,要麼賄賂微軟,讓他們能夠簽署更新,要麼乾脆從微軟竊取簽署金鑰。
攻擊者還必須處於網路中才能運行中間人攻擊。
這意味著實際上,如果您考慮防禦國家安全局等民族國家攻擊者,這只是您必須擔心的問題。
答案3
僅使用 Windows Update 控制台來更新 Windows 軟體。切勿點擊任何您不能完全信任的網站。
答案4
許多答案都正確地指出了 Windows 更新過程中的缺陷被 Flame 惡意軟體利用,但一些重要的細節已經被概括了。
Microsoft technet「安全研究與防禦部落格」上的這篇文章標題為:火焰惡意軟體碰撞攻擊解釋
....預設情況下,攻擊者的憑證在 Windows Vista 或更高版本的 Windows 上不起作用。他們必須執行碰撞攻擊來偽造對 Windows Vista 或更高版本的 Windows 上的程式碼簽署有效的憑證。在 Windows Vista 之前的系統上,即使沒有 MD5 雜湊衝突,也可能發生攻擊。
「MD5 碰撞攻擊」 = 高科技加密魔法 - 我當然不會假裝理解。
當火焰被發現並公開時卡巴斯基披露2012 年5 月28 日,研究人員發現該漏洞至少從2010 年3 月起就開始在野外運行,其程式碼庫從2007 年開始開發。這個漏洞已經存在了好幾年了在被發現和修補之前。
但 Flame 是一個「國家」級別的操作,正如已經指出的那樣 - 普通用戶幾乎無法保護自己免受三封機構的侵害。
邪惡等級
Evilgrade 是一個模組化框架,允許用戶透過注入虛假更新來利用糟糕的升級實現。它附帶預製的二進位檔案(代理)、快速滲透測試的工作預設配置,並擁有自己的 WebServer 和 DNSServer 模組。易於設置新設置,並且在設置新的二進制代理時具有自動配置功能。
此項目託管於吉圖布。它是免費且開源的。
引用預期用途:
當攻擊者能夠進行主機名稱重定向(操縱受害者的 DNS 流量)時,該框架就會發揮作用...
翻譯:可能是與您在同一(LAN)網路上的任何人或可以操縱您的 DNS 的人...仍在使用預設使用者名稱並傳遞您的 Linksys 路由器...?
目前有63 個不同的「模組」或它攻擊的潛在軟體更新,名稱包括itunes、vmware、virtualbox、skype、notepad++、ccleaner、Teamviewer 等。 ,並且沒有一個適用於“當前”版本,但是嘿 - 無論如何誰會更新...
示範在這影片