가짜 창 업데이트

19

해커가 Windows Update를 통해 운영 체제의 업데이트라고 알려 주어 악성 소프트웨어를 다운로드 할 수 있다고 들었습니다. 사실인가요? 그렇다면 어떻게 자신을 보호 할 수 있습니까?

windows-7 windows windows-update

— 사용자 3787755
소스

9

당신들은 잘못된 윈도우 업데이트는 서명

— Ramhound

5

편집증 환자라면 업데이트가 자동으로 다운로드되지 않도록 설정을 변경할 수 있으며 ( "알림 만"또는 "아무것도하지 않음"으로 설정) 수동으로 "Windows Update"로 이동하여 변경 내용을로드 / 설치하십시오. 이를 통해 Microsoft에서 제공됩니다.

— Daniel R은

1

관련 메모에서 맬웨어는 신뢰할 수있는 소프트웨어 뒤에 숨어 UAC 프롬프트를 통과하는 것으로 알려져 있습니다. 예를 들어, ZeroAccess 는 Adobe Flash Player 설치 프로그램에 자체적으로 연결되어 UAC 프롬프트가 합법적으로 보이고 "Oh Flash가 다시 업데이트 중입니다"라는 메시지가 표시됩니다.

— indiv

일화는하지만 바나 잭이 자신의 데프콘의 이야기 작년에 MUDGE에 의해 언급, 몇 년 전에이 보여주지 않았다 - youtube.com/watch?v=TSR-b9y (35 분 마크 주위에 시작)

— JMK

31

일반 해커가 Windows Update 시스템을 통해 무언가를 보내는 것은 거의 불가능합니다.

당신이 들었던 것은 다릅니다. 스파이웨어는 Windows Update처럼 보이고 설치하라는 메시지를 표시합니다. 그런 다음 설치를 클릭하면 관리 권한을 요구하는 UAC 프롬프트가 나타납니다. 동의하면 스파이웨어를 설치할 수 있습니다. Windows Update에서는 UAC 고도 테스트를 통과 할 필요가 없습니다. Windows Update 서비스가 가장 높은 권한을 가진 SYSTEM으로 실행되므로 필요하지 않습니다. Windows Update 설치 중 표시되는 유일한 메시지는 라이센스 계약을 승인하는 것입니다.

편집 : 정부가 이것을 철회 할 수 있기 때문에 게시물을 변경했지만 일반 시민으로서 의심 스럽습니다. 어쨌든 정부로부터 보호 할 수 있습니다.

— LPChip
소스

50

정말 "불가능"? 대신 "매우 가능성이 높지 않거나 불가능한"줄을 따라 더 많은 것을 할 수 있을까요?

— root

11

@root 나는 WSUS가 가짜이고 Windows 업데이트를 변경하는 방법 (물론 원하는 관리자 권한이 필요합니다)을 업데이트한다고 가정하면 Windows 업데이트는 악성 Windows 업데이트를 얻을 수 있습니다. 나는이 방법을 통해 전염되는 감염에 대해 들어 보지 못했고, 그들이 관리 권한을 얻으면 스파이웨어로 컴퓨터를 감염시킬 수 있기 때문에 이런 식으로 갈 것이라고 의심합니다.

— LPChip

7

그들은 XP에서 항상 이것을 했었습니다. 호스트 파일을 수정하여 요청을 악의적 인 웹 사이트로 리디렉션하기 만하면됩니다.

— ps2goat

3

화염은 무엇을 하지 않습니까?

— sch

9

이 답변이 사실이 아니기 때문에 -1입니다. 매우 드물기는하지만 @LPChip 자신도 그것이 현실에서 일어난 일을 상상할 수 없습니다

— slebetman

8

그래 그건 사실이야.

화염 악성 코드는 윈도우 업데이트 과정에서 결함을 통해 사용자를 공격했다. 제작자들은 Windows 업데이트 시스템에서 보안 취약점을 발견하여 피해자가 악성 코드가 포함 된 패치가 진정한 Windows 업데이트라고 생각하도록 속일 수있었습니다.

맬웨어의 표적이 스스로를 방어하기 위해 무엇을 할 수 있습니까? 별로. 몇 년 동안 불꽃이 감지되지 않았습니다.

그러나 Microsoft는 이제 Flame이 Windows 업데이트로 숨길 수있는 보안 허점을 패치했습니다. 이는 해커가 새로운 보안 허점을 찾아서 Microsoft에 뇌물을 제공하여 업데이트에 서명 할 수있는 능력을 부여하거나 단순히 Microsoft에서 서명 키를 도용해야한다는 것을 의미합니다.

또한 중간자 (man-in-the-middle) 공격을 실행하려면 공격자가 네트워크 위치에 있어야합니다.

즉, 실제로 이것은 NSA와 같은 국가 국가 공격자에 대한 방어에 대해 생각할 때 걱정해야 할 문제 일뿐입니다.

— 신자
소스

이 답변은 입증되지 않았습니다. 사용 된 인증서의 서명이 동일하기 때문에 Microsoft에서 서명하지

— 않았습니다.

1

@Ramhound :이 답변에서 Microsoft가 서명했다고 주장하지 않습니다. 보안 허점으로 인해 Microsoft가 서명 한 것처럼 보이는 서명이 있다고 주장합니다. 그들은 마이크로 소프트가 나중에 패치 한 0 일을 보냈습니다.

— Christian

2

나는 Windows Update에 의해 배포되지 않았습니다

— Ramhound

@Ramhound : 나는 그 문장을 바꾸었다. 새 버전에 만족하니?

— Christian

2

Windows Update 제어판 만 사용하여 Windows 소프트웨어를 업데이트하십시오. 완전히 신뢰할 수없는 사이트를 클릭 연결하지 마십시오.

— 테츠 진
소스

제안 해 주셔서 감사합니다. 해커가 악의적 인 소프트웨어를 windwos의 공식 업데이트로 숨기고 Windows 업데이트로 다운로드해야한다고 말할 수 있다고 들었습니다. 사실인가요?

— user3787755

3

나에게 FUD 같은 소리 - 그들은 단지 마이크로 소프트의 서버로 악의적 인 소프트웨어를 다운로드 할 필요가 없습니다 것입니다, 그들은 MS 모르게 ... 그것을 설명하는 KB 문서를 구성하기 위해 관리하는 모든이있을 것이다

— Tetsujin

4

키를 훔친 다음 DNS 서버를 도용 한 경우 ... 할 수 있습니다. 여전히 매우 가능성.

— D Schlachter

2

@DSchlachter는 대부분의 선진국 스파이 군단의 능력 내에 있습니다.

— Snowbody

2

대부분의 답변은 Windows 업데이트 프로세스의 결함이 Flame Malware에 의해 사용되었다고 올바르게 지적했지만 중요한 세부 사항 중 일부가 일반화되었습니다.

Microsoft technet '보안 연구 및 방어 블로그'제목의이 게시물 : Flame Malware 충돌 공격 설명

... 기본적으로 공격자의 인증서는 Windows Vista 또는 최신 버전의 Windows에서 작동하지 않습니다. Windows Vista 또는 최신 버전의 Windows에서 코드 서명에 유효한 인증서를 만들려면 충돌 공격을 수행해야했습니다. Windows Vista 이전의 시스템에서는 MD5 해시 충돌없이 공격이 가능합니다.

"MD5 Collision Attack"= 고도로 기술적 인 암호화 마법사 – 나는 확실히 이해하지 못하는 척합니다.

화염이 카스퍼 스키에 의해 발견되고 공개되었을 때2012 년 5 월 28 일 결과, 연구원들은 2010 년 3 월부터 2007 년부터 개발중인 코드 기반으로 야생에서 운영되고 있음을 발견했습니다. 이 취약점은 몇 년 동안 발견되어 패치되기 전에 존재했습니다.

그러나 Flame은 "국가 국가"수준의 작업이었으며 이미 지적한 바와 같이 3 개의 편지 대행사로부터 자신을 보호하기 위해 일반 사용자가 할 수있는 일은 거의 없습니다.

이블 그레이드

Evilgrade는 사용자가 가짜 업데이트를 주입하여 잘못된 업그레이드 구현을 활용할 수있는 모듈 식 프레임 워크입니다. 빠른 테스트를위한 기본 구성 인 사전 작성된 바이너리 (에이전트)와 함께 제공되며 자체 WebServer 및 DNSServer 모듈이 있습니다. 새로운 설정을 쉽게 설정하고 새로운 이진 에이전트가 설정되면 자동 구성됩니다.

이 프로젝트는 Github에서 호스팅됩니다 . 무료이며 오픈 소스입니다.

의도 된 사용법을 인용하려면 :

이 프레임 워크는 공격자가 호스트 이름 리디렉션 (피해자의 DNS 트래픽 조작)을 수행 할 수있을 때 작동합니다 ...

번역 : 잠재적으로 귀하 또는 귀하의 DNS를 조작 할 수있는 사람과 동일한 (LAN) 네트워크에있는 사람은 여전히 기본 사용자 이름을 사용하고 링크시스 라우터를 통과합니까?

현재 itunes, vmware, virtualbox, skype, notepad ++, ccleaner, Teamviewer 등과 같은 이름으로 63 개의 서로 다른 "모듈"또는 잠재적 인 소프트웨어 업데이트가 있습니다. 이러한 모든 취약점은 해당 공급 업체가 패치하고 추가해야합니다. "현재"버전은 없지만 어쨌든 누가 업데이트를합니까?

이 비디오의 데모

— 단발
소스