การปรับปรุง windows ปลอม

ฉันได้ยินมาว่าแฮกเกอร์สามารถทำให้คุณดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายได้โดยบอกคุณว่าพวกเขากำลังอัปเดตระบบปฏิบัติการผ่านทาง Windows Update จริงป้ะ? ถ้าใช่ฉันจะป้องกันตัวเองได้อย่างไร

แทบเป็นไปไม่ได้ที่แฮ็กเกอร์ธรรมดาจะส่งบางอย่างให้คุณผ่านระบบ Windows Update

สิ่งที่คุณได้ยินแตกต่างกัน มันเป็นสปายแวร์ที่ดูเหมือนว่าเป็น Windows Update และบอกให้คุณติดตั้ง หากคุณคลิกติดตั้งพรอมต์ UAC จะปรากฏขึ้นเพื่อขอสิทธิ์ระดับผู้ดูแลระบบ หากคุณยอมรับก็สามารถติดตั้งสปายแวร์ได้ โปรดทราบว่า Windows Update จะไม่ทำให้คุณต้องผ่านการทดสอบระดับความสูงของ UAC ไม่จำเป็นต้องใช้สิ่งนี้เนื่องจากบริการ Windows Update ทำงานเป็นระบบซึ่งมีสิทธิ์สูงสุด พรอมต์เดียวที่คุณจะได้รับระหว่างการติดตั้ง Windows Update กำลังอนุมัติข้อตกลงสิทธิ์การใช้งาน

แก้ไข: ทำการเปลี่ยนแปลงโพสต์เนื่องจากรัฐบาลอาจจะสามารถดึงออก แต่ฉันสงสัยว่าเป็นพลเมืองปกติคุณสามารถป้องกันรัฐบาลต่อไป

ใช่มันเป็นความจริง.

มัลแวร์ Flameโจมตีผู้ใช้ผ่านทางข้อบกพร่องในกระบวนการปรับปรุงของ Windows ผู้สร้างพบช่องโหว่ด้านความปลอดภัยในระบบอัปเดตของ Windows ซึ่งอนุญาตให้พวกเขาหลอกผู้ที่ตกเป็นเหยื่อโดยคิดว่าแพทช์ที่มีมัลแวร์เป็นหน้าต่างที่แท้จริง

เป้าหมายของมัลแวร์ทำอะไรได้บ้างเพื่อป้องกันตนเอง ไม่มาก. เปลวไฟไม่ถูกตรวจจับเป็นเวลาหลายปี

อย่างไรก็ตาม Microsoft ได้ทำการแก้ไขช่องโหว่ที่อนุญาตให้ Flame ซ่อนตัวเองเป็นอัพเดต Windows นั่นหมายความว่าแฮ็คเกอร์ต้องหาช่องโหว่ด้านความปลอดภัยใหม่ติดสินบน Microsoft เพื่อให้พวกเขามีความสามารถในการเซ็นชื่อการอัพเดทหรือเพียงขโมยกุญแจเซ็นจากไมโครซอฟต์

นอกจากนี้ผู้โจมตีจะต้องอยู่ในตำแหน่งในเครือข่ายเพื่อทำการโจมตีแบบ man-in-the-middle

นั่นหมายถึงในทางปฏิบัตินี่เป็นเพียงปัญหาที่คุณต้องกังวลหากคุณคิดว่าจะป้องกันผู้โจมตีรัฐชาติเช่น NSA

ใช้แผงควบคุม Windows Update เพื่ออัปเดตซอฟต์แวร์ Windows เท่านั้น อย่าคลิกผ่านบนไซต์ใด ๆ ที่คุณไม่สามารถเชื่อถือได้อย่างเต็มที่

คำตอบหลายข้อชี้ให้เห็นอย่างถูกต้องว่ามีข้อบกพร่องในกระบวนการอัปเดต windows ถูกใช้งานโดยมัลแวร์ Flame แต่รายละเอียดที่สำคัญบางอย่างได้รับการสรุป

โพสต์นี้ใน 'การวิจัยด้านความปลอดภัยและการป้องกันบล็อก' ของฝ่ายเทคนิคของไมโครซอฟท์หัวข้อ: การโจมตีการชนกันของ Flame Malware อธิบาย

... โดยค่าเริ่มต้นใบรับรองของผู้โจมตีจะไม่ทำงานบน Windows Vista หรือ Windows รุ่นที่ใหม่กว่า พวกเขาจะต้องทำการโจมตีการชนกันเพื่อปลอมแปลงใบรับรองที่ถูกต้องสำหรับการเซ็นชื่อรหัสบน Windows Vista หรือ Windows รุ่นที่ใหม่กว่า สำหรับระบบที่มีการปรับรุ่น Windows Vista ล่วงหน้าสามารถทำการโจมตีได้โดยไม่ต้องมี MD5 hash collision

"MD5 Collision Attack" = ตัวช่วยสร้างการเข้ารหัสทางเทคนิคขั้นสูง - ซึ่งแน่นอนว่าฉันไม่ได้แกล้งทำเป็นเข้าใจ

เมื่อ Flame ถูกค้นพบและเปิดเผยต่อสาธารณชนโดย Kasperskyเมื่อวันที่ 28 พฤษภาคม 2012 นักวิจัยพบว่ามันทำงานอยู่ในป่ามาตั้งแต่อย่างน้อยมีนาคม 2010 ด้วยรหัสฐานภายใต้การพัฒนาจาก 2007 แม้ว่า Flame จะมีเวกเตอร์อื่น ๆ ของการติดเชื้อ ช่องโหว่นี้มีอยู่หลายปีก่อนที่จะถูกค้นพบและแก้ไข

แต่ Flame นั้นเป็นการปฏิบัติการในระดับ "Nation State" และตามที่ได้กล่าวไปแล้ว - มีน้อยมากที่ผู้ใช้ทั่วไปสามารถทำได้เพื่อปกป้องตัวเองจากตัวแทนจดหมายสามแห่ง

Evilgrade

Evilgrade เป็นโครงสร้างแบบแยกส่วนที่ช่วยให้ผู้ใช้สามารถใช้ประโยชน์จากการปรับใช้ที่ไม่ดีโดยการฉีดการปรับปรุงปลอม มันมาพร้อมกับไบนารีที่ทำไว้ล่วงหน้า (ตัวแทน), การกำหนดค่าเริ่มต้นที่ใช้งานได้สำหรับเพนต์เซ็ตที่รวดเร็วและมีโมดูล WebServer และ DNSServer ของตัวเอง ง่ายต่อการตั้งค่าการตั้งค่าใหม่และมีการตั้งค่าอัตโนมัติเมื่อตัวแทนไบนารีใหม่ถูกตั้งค่า

โครงการนี้ถูกโฮสต์ในGithub มันฟรีและโอเพ่นซอร์ส

เพื่ออ้างอิงการใช้งานที่ตั้งใจ:

เฟรมเวิร์กนี้เข้ามาเมื่อผู้โจมตีสามารถทำการเปลี่ยนเส้นทางชื่อโฮสต์ (จัดการการรับส่งข้อมูล DNS ของเหยื่อ) ...

การแปล: อาจเป็นใครก็ได้ในเครือข่าย (LAN) เดียวกันกับคุณหรือคนที่สามารถจัดการ DNS ของคุณ ... ยังคงใช้ชื่อผู้ใช้เริ่มต้นและส่งผ่านเราเตอร์ linksys ของคุณ ... ?

ขณะนี้มี "โมดูล" 63 รายการหรือการอัปเดตซอฟต์แวร์ที่อาจเป็นไปได้ซึ่งมีชื่ออย่าง iTunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer ฯลฯ ฯลฯ ฉันควรเพิ่มว่าช่องโหว่เหล่านี้ทั้งหมดได้รับการแก้ไขโดยผู้ขายที่เกี่ยวข้อง ไม่มีสำหรับรุ่น "ปัจจุบัน" แต่เฮ้ - ใครจะอัปเดตต่อไป ...

การสาธิตในวิดีโอนี้