幾周前,網路安全公司 Eclypsium 的研究人員透露,幾乎所有大型硬體製造商都存在一個安全漏洞,允許惡意應用程式在使用者層級上獲得核心許可權,從而實現對韌體和硬體的直接訪問。
研究人員對一系列硬體製造商和 BIOS 供應商展開了研究,涵蓋了東芝、華碩、華為、英特爾、英特爾等知名大廠。此外,該漏洞會影響 Windows 的所有版本,包括 Windows 7 / 8 / 8.1 / 10 。
(圖自:LMNTRX Labs,via MSPU)
儘管微軟聲稱新版 Windows Defender 能夠應對該問題,但未透露使用者需要升級到最新的 Windows 作業系統版本,才能獲得這一益處。
對於舊版 Windows 作業系統的使用者來說,可利用虛擬機器管理程式強制執行的程式碼完整性(HVCI)的黑名單功能來提供一定程度上的防護。
遺憾的是,此功能僅適用於七代以後的英特爾處理器。如果您的 CPU 較舊、或者在新處理器上禁用了HVCI 功能,則需要手動解除安裝驅動。
更糟糕的是,駭客已經設法對這個缺陷加以利用。儘管遠端訪問木馬(RAT)已經存在多年,但近期的發展卻讓它們變得比以往更加危險。
比如 NanoCore RAT,就曾以 25 美元的價格在暗網上被掛牌出售。然而 2014 年的時候,NanoCore RAT 的免費破解版開始大肆流行開來。
此後,攻擊者為它添加了許多新的的外掛,讓該工具變得更加複雜。最新訊息是,LMNTRX 實驗室的研究人員發現,NanoCore RAT 又迎來了一項利用最新漏洞的新功能。
藉助該工具,駭客可宣稱關閉或重啟系統、瀏覽檔案,訪問和控制任務管理器、登錄檔編輯器、還有滑鼠。
以及開啟網頁、禁用網路攝像頭的活躍狀態指示燈,以便在不被注意的情況下監視受害者、並錄製音影片。
由於攻擊者可以完全訪問計算機,他們還可以使用鍵盤記錄程式竊取密碼登陸憑據,以及使用類似勒索軟體的定製方案,加密受害者的計算機。
慶幸的是,NanoCore RAT 已存在多年,被安全研究人員廣為所知。LMNTRX 團隊將檢測技術分為三大類,分別是 T1064(指令碼)、T1060(登錄檔執行鍵值 / 啟動資料夾)、以及 T1193(Spearphishing 附件)。
● 指令碼通常由系統管理員用於執行例行任務,因此任何異常執行的合法指令碼程式(如 PowerShell 或 Wscript)都可被鑑別出可疑的行為。
● 監視登錄檔以更改執行與已知軟體或修補程式無關的鍵值,以及留意啟動資料夾的新增或更改,亦有助於檢測惡意軟體。
● LMNTRIX 等網路入侵檢測系統可過濾傳輸中惡意附加的釣魚內容,比如 LMNTRIX Detect 就可根據行為(而不是簽名)來檢測惡意軟體。
綜上所述,對於企業組織和個人 / 家庭使用者來說,目前最佳的應對措施,就是將系統和軟體更新到最新版本(包括 Windows 驅動程式、第三方軟體、甚至 Windows Update)。
最重要的是,請勿下載或開啟任何可疑電子郵件、或安裝任何未知供應商的第三方軟體。
幾周前,網路安全公司 Eclypsium 的研究人員透露,幾乎所有大型硬體製造商都存在一個安全漏洞,允許惡意應用程式在使用者層級上獲得核心許可權,從而實現對韌體和硬體的直接訪問。
研究人員對一系列硬體製造商和 BIOS 供應商展開了研究,涵蓋了東芝、華碩、華為、英特爾、英特爾等知名大廠。此外,該漏洞會影響 Windows 的所有版本,包括 Windows 7 / 8 / 8.1 / 10 。
(圖自:LMNTRX Labs,via MSPU)
儘管微軟聲稱新版 Windows Defender 能夠應對該問題,但未透露使用者需要升級到最新的 Windows 作業系統版本,才能獲得這一益處。
對於舊版 Windows 作業系統的使用者來說,可利用虛擬機器管理程式強制執行的程式碼完整性(HVCI)的黑名單功能來提供一定程度上的防護。
遺憾的是,此功能僅適用於七代以後的英特爾處理器。如果您的 CPU 較舊、或者在新處理器上禁用了HVCI 功能,則需要手動解除安裝驅動。
更糟糕的是,駭客已經設法對這個缺陷加以利用。儘管遠端訪問木馬(RAT)已經存在多年,但近期的發展卻讓它們變得比以往更加危險。
比如 NanoCore RAT,就曾以 25 美元的價格在暗網上被掛牌出售。然而 2014 年的時候,NanoCore RAT 的免費破解版開始大肆流行開來。
此後,攻擊者為它添加了許多新的的外掛,讓該工具變得更加複雜。最新訊息是,LMNTRX 實驗室的研究人員發現,NanoCore RAT 又迎來了一項利用最新漏洞的新功能。
藉助該工具,駭客可宣稱關閉或重啟系統、瀏覽檔案,訪問和控制任務管理器、登錄檔編輯器、還有滑鼠。
以及開啟網頁、禁用網路攝像頭的活躍狀態指示燈,以便在不被注意的情況下監視受害者、並錄製音影片。
由於攻擊者可以完全訪問計算機,他們還可以使用鍵盤記錄程式竊取密碼登陸憑據,以及使用類似勒索軟體的定製方案,加密受害者的計算機。
慶幸的是,NanoCore RAT 已存在多年,被安全研究人員廣為所知。LMNTRX 團隊將檢測技術分為三大類,分別是 T1064(指令碼)、T1060(登錄檔執行鍵值 / 啟動資料夾)、以及 T1193(Spearphishing 附件)。
● 指令碼通常由系統管理員用於執行例行任務,因此任何異常執行的合法指令碼程式(如 PowerShell 或 Wscript)都可被鑑別出可疑的行為。
● 監視登錄檔以更改執行與已知軟體或修補程式無關的鍵值,以及留意啟動資料夾的新增或更改,亦有助於檢測惡意軟體。
● LMNTRIX 等網路入侵檢測系統可過濾傳輸中惡意附加的釣魚內容,比如 LMNTRIX Detect 就可根據行為(而不是簽名)來檢測惡意軟體。
綜上所述,對於企業組織和個人 / 家庭使用者來說,目前最佳的應對措施,就是將系統和軟體更新到最新版本(包括 Windows 驅動程式、第三方軟體、甚至 Windows Update)。
最重要的是,請勿下載或開啟任何可疑電子郵件、或安裝任何未知供應商的第三方軟體。