Słyszałem, że hakerzy mogą zmusić cię do pobrania złośliwego oprogramowania, informując Cię, że są aktualizacją systemu operacyjnego za pośrednictwem Windows Update. Czy to prawda? Jeśli tak, jak mogę się chronić?
Słyszałem, że hakerzy mogą zmusić cię do pobrania złośliwego oprogramowania, informując Cię, że są aktualizacją systemu operacyjnego za pośrednictwem Windows Update. Czy to prawda? Jeśli tak, jak mogę się chronić?
Odpowiedzi:
Zwykły haker nie jest w stanie wysłać Ci czegoś za pośrednictwem systemu Windows Update.
To, co słyszałeś, jest jednak inne. To oprogramowanie szpiegujące, które wygląda jak Windows Update i mówi, aby je zainstalować. Jeśli następnie klikniesz Zainstaluj, pojawi się monit UAC z pytaniem o uprawnienia administracyjne. Jeśli to zaakceptujesz, może zainstalować oprogramowanie szpiegujące. Należy pamiętać, że usługa Windows Update NIGDY nie wymaga zdania testu podniesienia kontroli konta użytkownika. Nie jest to wymagane, ponieważ usługa Windows Update działa jako SYSTEM, który ma najwyższe uprawnienia. Jedynym monitem, który otrzymasz podczas instalacji Windows Update, jest zatwierdzenie umowy licencyjnej.
EDYCJA: wprowadzono zmiany na stanowisku, ponieważ rząd może być w stanie to zrobić, ale wątpię, aby jako zwykły obywatel, i tak można było chronić się przed rządem.
Tak, to prawda.
Płomień malware zaatakowany przez użytkownika wada w procesie aktualizacji systemu Windows. Twórcy znaleźli lukę w zabezpieczeniach systemu aktualizacji Windows, która pozwoliła im oszukać ofiary, aby pomyślały, że ich łatka zawierająca złośliwe oprogramowanie jest autentyczną aktualizacją systemu Windows.
Co mogą zrobić cele złośliwego oprogramowania, aby się obronić? Niewiele. Przez lata płomień nie był wykrywany.
Jednak Microsoft załatał teraz lukę w zabezpieczeniach, która pozwoliła Flame'owi ukryć się jako aktualizacja Windows. Oznacza to, że hakerzy muszą albo znaleźć nową lukę w zabezpieczeniach, przekupić Microsoft, aby umożliwić im podpisywanie aktualizacji, lub po prostu ukraść klucz do podpisu z Microsoft.
Atakujący musi dodatkowo być w pozycji w sieci, aby przeprowadzić atak man-in-the-middle.
Oznacza to, że w praktyce jest to tylko kwestia, o którą musisz się martwić, jeśli myślisz o obronie przed atakami państwa narodowego, takimi jak NSA.
Zawsze używaj panelu sterowania Windows Update do aktualizacji oprogramowania Windows. Nigdy nie klikaj w żadnej witrynie, której nie możesz w pełni zaufać.
Wiele odpowiedzi poprawnie wskazywało, że Flame Malware wykorzystało wadę procesu aktualizacji systemu Windows, ale niektóre ważne szczegóły zostały uogólnione.
Ten post na blogu Microsoft Technet „Security Research and Defense Blog” zatytułowany: Wyjaśnienie ataku kolizji złośliwego oprogramowania Flame
... domyślnie certyfikat atakującego nie działa w systemie Windows Vista lub nowszych wersjach systemu Windows. Musieli przeprowadzić atak kolizyjny, aby sfałszować certyfikat, który byłby ważny do podpisywania kodu w systemie Windows Vista lub nowszych wersjach systemu Windows. W systemach wcześniejszych niż Windows Vista atak jest możliwy bez kolizji skrótu MD5.
„MD5 Collision Attack” = Wysoko techniczne czarodziejstwo kryptograficzne - którego z pewnością nie udaję, że rozumiem.
Kiedy Flame został odkryty i publicznie ujawniony przez Kaspersky 28 maja 2012 r., Naukowcy odkryli, że działał on na wolności od co najmniej marca 2010 r., A baza kodu była opracowywana od 2007 r. Mimo że Flame zawierał kilka innych wektorów infekcji, dolna linia jest ta jedna luka istniała przez kilka lat, zanim została odkryta i załatana.
Ale Flame był operacją na poziomie „państwa narodowego” i, jak już wspomniano - zwykły użytkownik niewiele może zrobić, aby uchronić się przed agencjami trzech liter.
Evilgrade to modularna struktura, która pozwala użytkownikowi korzystać ze złych wdrożeń aktualizacji poprzez wprowadzanie fałszywych aktualizacji. Jest dostarczany z gotowymi plikami binarnymi (agentami), działającą domyślną konfiguracją dla szybkich pentestów oraz ma własne moduły WebServer i DNSServer. Łatwa konfiguracja nowych ustawień i automatyczna konfiguracja po ustawieniu nowych agentów binarnych.
Projekt jest hostowany na Github . Jest darmowy i open source.
Aby zacytować zamierzone użycie:
Ta struktura wchodzi w grę, gdy osoba atakująca może dokonać przekierowań nazw hostów (manipulowanie ruchem dns ofiary) ...
Tłumaczenie: potencjalnie każdy w tej samej sieci (LAN) co ty lub ktoś, kto może manipulować twoim DNS ... nadal używa domyślnej nazwy użytkownika i przekazuje twój router linksys ...?
Obecnie ma 63 różne „moduły” lub potencjalne aktualizacje oprogramowania, które atakuje, z nazwami takimi jak itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer itp. Itp. Powinienem dodać, że wszystkie te wulkany zostały załatane przez ich dostawców i żadna nie jest przeznaczona dla „aktualnych” wersji, ale hej - kto i tak aktualizuje ...
Demonstracja w tym filmie