Sahte pencere güncellemesi

19

Bilgisayar korsanlarının, Windows Update aracılığıyla işletim sisteminin bir güncellemesi olduklarını söyleyerek kötü amaçlı yazılımlarını indirmenizi sağlayabildiğini duydum. Bu doğru mu? Evet ise, kendimi nasıl koruyabilirim?

windows-7  windows  windows-update 
user3787755
kaynak
9
Yanlış pencere güncellemelerinin imzalandığını duydunuz
Ramhound
5
Gerçekten paranoyaksanız, güncellemelerin otomatik olarak indirilmemesi için ayarlarınızı değiştirebilirsiniz ("yalnızca bildirim" veya "hiçbir şey yapma" olarak ayarlanır), ardından değişiklikleri yüklemek / yüklemek için manuel olarak "Windows Update" e gidin. Bu, Microsoft'tan gelmelerini sağlar.
Daniel R Hicks
1
İlgili bir notta, kötü amaçlı yazılımın geçmiş UAC istemlerini almak için güvenilir yazılımın arkasına saklandığı bilinmektedir. Örneğin, ZeroAccess bir Adobe Flash Player yükleyicisine kendini ekler , böylece UAC istemi meşru görünecektir ve "Oh, sadece Flash tekrar güncelleniyor ..." ve tıklayabilirsiniz.
indiv
Anecdotal ama Barnaby Jack bunu birkaç yıl önce göstermedi, Mudge tarafından geçen yıl Defcon konuşmasında bahsedildi - youtube.com/watch?v=TSR-b9y (35 dakika işaretinden başlayarak)
JMK

Yanıtlar:

31

Sıradan bir hacker'ın size Windows Update sistemi üzerinden bir şey göndermesi neredeyse imkansızdır.

Ancak duyduklarınız farklı. Windows Update gibi görünen ve yüklemenizi söyleyen bir casus yazılımdır. Daha sonra yükle'yi tıklatırsanız, yönetici ayrıcalıkları isteyen bir UAC istemi açılır. Bunu kabul ederseniz, casus yazılım yükleyebilir. Windows Update'in ASLA bir UAC yükseklik testi geçmenizi gerektirmeyeceğini unutmayın. Windows Update hizmeti en yüksek ayrıcalıklara sahip SYSTEM olarak çalıştığından bu gerekli değildir. Windows Update yüklemeleri sırasında alacağınız tek istem bir lisans sözleşmesini onaylamaktır.

DÜZENLEME: Hükümet bunu başarabileceğinden görevde değişiklikler yaptı, ancak normal bir vatandaş olarak şüpheliyim, yine de hükümete karşı koruyabilirsiniz.

LPChip
kaynak
50
Gerçekten, "imkansız" mı? Bunun yerine "son derece yüksek ihtimal / olanaksız" çizgileri boyunca daha fazla bir şeyle gidebilir miyiz?
kök
11
@root Eğer WSUS sahte ve windows güncellemesini bu şekilde değiştirmek isterlerse (tabii ki yine de almak istedikleri yönetici ayrıcalıkları gerektirir) windows güncelleme kötü amaçlı bir windows güncelleme alabilir. Yine de bu yöntemle bulaşan herhangi bir enfeksiyon duymadım ve bu şekilde gideceklerinden şüpheliyim çünkü idari ayrıcalıklara sahiplerse, makineyi casus yazılımlarla amaçladıkları şekilde enfekte edebilirler.
LPChip
7
Bunu XP'de her zaman yaparlardı. Tek yapmanız gereken, bir isteği kötü amaçlı bir web sitesine yönlendirmek için hosts dosyasını değiştirmek.
ps2goat
3
Flame'ın yaptığı bu değil mi?
sch
9
-1 çünkü bu cevap doğru değil. Her ne kadar çok olası olmasa da ve @LPChip, gerçek hayatta olduğunu hiç hayal edemese de
slebetman
8

Evet bu doğru.

Alev zararlı yazılım , Windows güncelleştirme işleminde kusur yoluyla kullanıcıyı saldırdı. İçerik oluşturucuları, Windows güncelleme sisteminde kurbanları kötü amaçlı yazılım içeren yamalarının otantik bir windows güncellemesi olduğunu düşünmelerine aldatmalarını sağlayan bir güvenlik deliği buldu.

Kötü amaçlı yazılımların hedefleri kendilerini savunmak için ne yapabilirdi? Fazla değil. Alev yıllarca fark edilmeden gitti.

Ancak Microsoft artık Flame'ın kendisini bir Windows güncelleştirmesi olarak gizlemesine izin veren güvenlik deliğini düzeltti. Bu, bilgisayar korsanlarının ya yeni bir güvenlik açığı bulması, Microsoft'a rüşvet vermesi için onlara rüşvet vermesi veya imza anahtarını microsoft'tan çalması gerektiği anlamına gelir.

Saldırganın ayrıca, ortadaki adam saldırısı gerçekleştirmek için ağda bir konumda olması gerekir.

Bu, pratikte bu sadece NSA gibi ulus devlet saldırganlarına karşı savunmayı düşünüyorsanız endişelenmeniz gereken bir konudur.

Hristiyan
kaynak
Bu cevap kanıtlanmadı. Microsoft tarafından imzalanmadı Bir sertifika tarafından imzalandı çünkü kullanılan sertifika aynı imzayı
taşıyordu
1
@Ramhound: Bu cevapta Microsoft tarafından imzalandığını iddia etmiyorum. Güvenlik açığı nedeniyle Microsoft tarafından imzalanmış gibi görünen bir imza aldığını iddia ediyorum. Microsoft'un daha sonra yamaladığı 0 günlük bir süreleri vardı.
Christian
2
Yine de Windows Update tarafından hiç dağıtılmamıştım
Ramhound
@Ramhound: Bu cümleyi değiştirdim, yeni sürümden memnun musunuz?
Christian
2

Windows yazılımını güncellemek için yalnızca Windows Update kontrol panelini kullanın. Tam olarak güvenemeyeceğiniz hiçbir siteyi asla tıklamayın.

Tetsujin
kaynak
Önerin için teşekkürler. Bilgisayar korsanlarının kötü amaçlı yazılımlarını windwos'un resmi bir güncellemesi olarak maskelemelerinin ve windows güncellemesinin indirmeniz gerektiğini söyleyebileceğini duydum. Bu doğru mu?
user3787755
3
Bana FUD gibi geliyor - sadece bu kötü amaçlı yazılımı Microsoft'un sunucularına almak zorunda kalmayacaklar, bunu açıklayan bir KB makalesi oluşturmayı başarmak zorunda kalacaklardı ... hepsi MS farkında olmadan
Tetsujin
4
Eğer anahtarları çaldılar, sonra DNS sunucularınızı kaçırdılar ... o zaman yapılabilir. Yine de pek olası değil.
D Schlachter
2
@DSchlachter, çoğu sanayileşmiş ulusun casus birliklerinin yetenekleri içinde.
Snowbody
2

Yanıtların çoğu, Windows güncelleme işlemindeki bir kusurun Alev Kötü Amaçlı Yazılım tarafından kullanıldığını doğru bir şekilde işaret etti, ancak bazı önemli ayrıntılar genelleştirildi.

Microsoft Technet 'Güvenlik Araştırma ve Savunma Blogu' başlıklı bu yazı: Flame Malware çarpışma saldırısı açıklandı

... varsayılan olarak saldırganın sertifikası Windows Vista veya Windows'un daha yeni sürümlerinde çalışmaz. Windows Vista veya Windows'un daha yeni sürümlerinde kod imzalama için geçerli olacak bir sertifika oluşturmak için bir çarpışma saldırısı yapmak zorunda kaldılar. Windows Vista'dan önceki sistemlerde, MD5 karma çakışması olmadan saldırı mümkündür.

"MD5 Çarpışma Saldırısı" = Kesinlikle anlıyormuş gibi yapmadığım son derece teknik şifreleme sihirbazı.

Alev 28 Mayıs 2012'de Kaspersky tarafından keşfedilip kamuya açıklandığında , araştırmacılar en az Mart 2010'dan bu yana 2007'den beri geliştirilmekte olan kod tabanı ile vahşi doğada çalıştığını buldular. Alev'in başka birçok enfeksiyon vektörü olmasına rağmen, sonuçta bu güvenlik açığı keşfedilmeden ve düzeltilmeden önce birkaç yıl boyunca var oldu.

Ancak Alev "Ulus Devlet" düzeyinde bir operasyondu ve daha önce de belirtildiği gibi - sıradan bir kullanıcının kendilerini üç harfli ajanstan korumak için yapabileceği çok az şey var.

Evilgrade

Evilgrade, kullanıcının sahte güncellemeler enjekte ederek kötü yükseltme uygulamalarından yararlanmasına izin veren modüler bir çerçevedir. Hızlı pentestler için çalışan bir varsayılan yapılandırma olan önceden hazırlanmış ikili dosyalar (aracılar) ile birlikte gelir ve kendi WebServer ve DNSServer modüllerine sahiptir. Yeni ayarların yapılması kolaydır ve yeni ikili aracılar ayarlandığında otomatik olarak yapılandırılır.

Proje Github'da düzenleniyor . Serbest ve açık kaynaklıdır.

Kullanım amacını belirtmek için:

Bu çerçeve, saldırgan ana bilgisayar adı yeniden yönlendirmeleri yapabildiğinde (kurbanın DNS trafiğinin manipülasyonu) devreye girer ...

Çeviri: potansiyel olarak sizinle (LAN) aynı ağda veya sizin DNS'nizi manipüle edebilen herhangi biri ... hala varsayılan kullanıcı adını kullanıyor ve linksys yönlendiricinizi iletiyor ...?

Şu anda itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer, vb gibi isimlerle saldırdığı 63 farklı "modül" veya potansiyel yazılım güncellemesi var. Bu vulkanların hepsinin ilgili satıcıları tarafından yamalandığını ve hiçbiri "güncel" sürümler için değildir, ama hey - yine de güncellemeleri yapan ...

Bu videoda gösterim

şilin
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.