![S3 Ep113:破解 Windows 内核 – 欺骗 Microsoft [音频 + 文本] PlatoBlockchain 数据智能的骗子。 垂直搜索。 人工智能。](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200.png "S3 Ep113:欺骗 Windows 内核——欺骗微软的骗子 [音频 + 文本]")
PWNING Windows 内核
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 无线间谍软件、信用卡窃取和大量补丁。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是道格·阿莫斯; 他是保罗·达克林。
保罗,你好吗?
鸭。 我很好,道格。
冷,但还好。
道格。 这里也很冷,每个人都生病了……但对你来说那是十二月。
说到 XNUMX 月,我们喜欢以我们的节目开始 科技史上的本周 分割。
本周我们有一个激动人心的消息 – 16 年 2003 月 XNUMX 日,CAN-SPAM 法案由当时的美国总统乔治·W·布什签署成为法律。
的反义词 控制未经请求的色情和营销攻击, CAN-SPAM 被视为相对无牙的原因,例如不需要收件人同意接收营销电子邮件,并且不允许个人起诉垃圾邮件发送者。
据信,到 2004 年,只有不到 1% 的垃圾邮件真正遵守了该法案。
鸭。 是的,事后看来很容易这么说……
......但正如我们中的一些人当时开玩笑的那样,我们认为他们称其为 CAN-SPAM,因为这*正是*你可以做的。 [笑声]
道格。 “你可以发送垃圾邮件!”
鸭。 我猜这个想法是,“让我们从一种非常温和的方法开始。”
[WRY TONE] 所以这是开始,诚然,不是那么多。
道格。 [笑]我们最终会到达那里。
说到坏的和更糟的……
…微软星期二补丁——这里没什么可看的,除非你算一个 签名的恶意内核驱动程序?!
鸭。 嗯,实际上有几个——Sophos 快速响应团队在他们所做的约定中发现了这些工件。
不仅仅是 Sophos——至少有两个其他网络安全研究小组被微软列为最近偶然发现了这些事情:内核驱动程序有效地获得了微软的数字批准。
微软现在发布了一份公告,指责流氓合作伙伴。
他们是否真的创建了一家假装制造硬件的公司,特别是加入驱动程序,目的是偷偷通过狡猾的内核驱动程序?
或者他们是否贿赂了一家已经加入该计划的公司与他们合作?
或者他们是否侵入了一家甚至没有意识到它被用作对微软说的工具的公司,“嘿,我们需要生产这个内核驱动程序 - 你会证明它吗?”......
当然,经过认证的内核驱动程序的问题是因为它们必须由 Microsoft 签名,并且因为驱动程序签名在 Windows 上是强制性的,这意味着如果你可以让你的内核驱动程序签名,你就不需要黑客或漏洞或利用能够加载一个作为网络攻击的一部分。
你可以只安装驱动程序,系统会说,“哦,好吧,它已经签名了。 因此允许装载它。”
当然,当您处于内核内部时,您可能会比当您“仅仅是”管理员时造成更大的破坏。
值得注意的是,您可以获得流程管理的内部访问权限。
作为管理员,您可以运行一个程序,上面写着“我想杀死 XYZ 程序”,这可能是一个反病毒或威胁搜寻工具。
并且该程序可以抵抗被关闭,因为假设它也是管理员级别的,那么任何一个进程都不能绝对优先于另一个。
但是,如果您在操作系统内部,那么处理启动和结束进程的是操作系统,因此您将获得更多的权力来杀死诸如安全软件之类的东西……
......显然这正是这些骗子所做的。
在“历史重演”中,我记得,很多年前,当我们调查骗子用来终止安全程序的软件时,他们通常会列出 100 到 200 个他们有兴趣杀死的进程:操作系统来自 20 个不同供应商的进程、防病毒程序,诸如此类。
而这一次,我认为他们的驱动程序在那里要杀死 186 个程序。
所以微软有点尴尬。
幸运的是,他们现在已经将那些流氓编码员踢出了他们的开发人员计划,并且他们至少已经将所有已知的狡猾驱动程序列入了黑名单。
道格。 所以这不是全部 周二补丁公布.
还有一些零日漏洞、一些 RCE 错误和其他类似的东西:
鸭。 是的。
幸运的是,本月修复的零日错误并不是所谓的 RCE,或者 远程代码执行 孔。
因此,他们没有为外部攻击者提供直接路径,让他们跳入您的网络并运行他们想要的任何东西。
但是在 DirectX 中有一个内核驱动程序错误,它允许已经在您计算机上的人基本上提升自己拥有内核级的权力。
所以这有点像带上您自己签名的驱动程序——您*知道*您可以加载它。
在这种情况下,您利用了受信任的驱动程序中的错误,并允许您在内核中执行操作。
显然,这种情况会使本已是坏消息的网络攻击变得非常非常糟糕。
所以你肯定想针对它进行修补。
有趣的是,这似乎只适用于最新版本,即 2022H2(下半年 是 Windows 2 的 H11 代表)。
你肯定想确保你已经明白了。
Windows SmartScreen 中有一个有趣的错误,它基本上是 Windows 过滤工具,当您尝试下载可能存在危险的内容时,它会向您发出警告。
所以,很明显,如果骗子发现,“哦,不! 我们遇到了这种恶意软件攻击,而且效果非常好,但现在 Smart Screen 阻止了它,我们该怎么办?”......
…要么他们可以逃跑并发起全新的攻击,要么他们可以找到一个漏洞,让他们避开 Smart Screen,这样警告就不会弹出。
这正是 CVE-2022-44698 中发生的事情,Douglas。
所以,那些是零日。
正如您所说,混合中存在一些远程代码执行错误,但这些错误中没有一个是已知的。
如果你针对这些进行修补,你就会领先于骗子,而不仅仅是追赶。
道格。 好的,让我们继续讨论补丁的主题......
......我喜欢这个的第一部分 标题.
它只是说,“Apple patches everything”:
鸭。 是的,我想不出用 70 个字符或更少的字符列出所有操作系统的方法。 [笑声]
所以我想,“好吧,这就是一切。”
问题是上次我们写关于 Apple 更新的文章是 仅限 iOS (iPhone),且仅限 iOS 16.1.2:
那么,如果你有 iOS 15,你会做什么?
你有危险吗?
你打算稍后再更新吗?
这一次,关于上次更新的消息终于水落石出了。
看来,Doug,我们获得 iOS 16.1.2 更新的原因是存在一个在野利用,现在称为 CVE-2022-42856,这是 WebKit(Web 渲染引擎)中的一个错误在 Apple 的操作系统中。
而且,显然,只要引诱您查看一些诱杀内容,就可以触发该漏洞——业内称为 路过式安装,您只需浏览一个页面,“哦,亲爱的”,在后台安装恶意软件。
现在,显然,发现的漏洞仅适用于 iOS。
这大概就是为什么 Apple 没有匆忙推出所有其他平台的更新,尽管 macOS(所有三个受支持的版本)、tvOS、iPadOS……它们实际上都包含该错误。
显然,唯一没有的系统是 watchOS。
因此,该错误几乎存在于 Apple 的所有软件中,但据他们所知,显然只能通过在 iOS 上进行的野外利用来利用它。
但现在,奇怪的是,他们说,“只在 15.1 之前的 iOS 上”,这让你想知道,“在那种情况下,为什么他们不为 iOS 15 发布更新?”
我们只是不知道!
也许他们希望如果他们推出 iOS 16.1.2,iOS 15 上的一些人无论如何都会更新,这会为他们解决问题?
或者,也许他们还不确定 iOS 16 是否不存在漏洞,并且发布更新(他们有一个明确定义的流程)比进行足够的测试以确定该错误不能更快更容易。不容易在 iOS 16 上被利用。
道格,我们可能永远不会知道,但所有这一切背后的故事都非常引人入胜!
但是,确实,正如您所说,每个拥有带有 Apple 标志的产品的人都有更新。
所以:不要拖延/今天就做。
道格。 让我们转向我们在本古里安大学的朋友们……他们又回来了。
他们开发了一些无线间谍软件——一个漂亮的小东西 无线间谍软件技巧:
鸭。 是的……我不确定这个名字; 我不知道他们在那里想什么。
他们称它为 COVID-bit.
道格。 有点奇怪。
鸭。 我想我们都以某种方式被 COVID 咬伤了……
道格。 也许就是这样?
鸭。 COV 是为了代表 隐蔽, 他们不说什么 ID-bit 代表。
我猜这可能是“一点一滴的信息泄露”,但它仍然是一个引人入胜的故事。
我们喜欢写这个部门所做的研究,因为,虽然对我们大多数人来说这有点假设......
......他们正在研究如何突破网络气隙,这是你运行一个安全网络的地方,你故意将其与其他一切分开。
所以,对于我们大多数人来说,这不是一个大问题,至少在家里是这样。
但他们正在关注的是*即使你在物理上将一个网络与另一个网络隔离开*,这些天进入并撕掉所有无线网卡、蓝牙卡、近场通信卡,或者切断电线并断开电路板上的电路迹线可停止任何无线连接工作……
......是否还有一种方法可以让一次性访问安全区域的攻击者或腐败的内部人员以基本上无法追踪的方式泄露数据?
不幸的是,事实证明,将一个计算机设备网络与另一个计算机设备网络完全隔离比您想像的要难得多。
普通读者会知道我们已经写了很多这些人以前想出的东西。
他们有 GAIROSCOPE,这是你真正重新利用手机的地方 指南针芯片 作为低保真麦克风。
道格。 [笑]我记得那个:
鸭。 因为这些芯片可以很好地感知振动。
他们有 LANTENNA,这是你将信号放在安全区域内的有线网络上的地方,网络电缆实际上充当 微型广播电台.
它们泄漏的电磁辐射量刚好足以让您在安全区域外接收到它,因此它们使用有线网络作为无线发射器。
他们有一个他们开玩笑地称之为 FANSMITTER 的东西,这就是你要去的地方,“好吧,我们可以做音频信号吗? 显然,如果我们只是通过扬声器播放音乐,比如 [拨号声] 哔哔哔哔哔,那会非常明显。”
但是,如果我们改变 CPU 负载,使风扇加速和减速会怎么样——我们可以使用 风扇速度的变化 几乎就像一种信号量信号?
在这次最新的攻击中,他们认为,“我们还能如何将世界上几乎每台计算机内部的东西,看起来足够无辜的东西......我们如何才能将它变成一个非常非常低功率的无线电台?”
在这种情况下,他们能够使用电源来做到这一点。
他们能够在 Raspberry Pi、戴尔笔记本电脑和各种台式 PC 中实现这一点。
他们使用计算机自己的电源,它基本上进行非常非常高频的直流开关,以切断直流电压,通常是降低它,每秒数十万或数百万次。
他们找到了一种让电磁辐射泄漏的方法——他们可以在手机上接收到 2 米外的无线电波……
…即使该手机的所有无线功能都已关闭,甚至已从设备中移除。
他们想出的诀窍是:你改变它的开关速度,然后你检测开关频率的变化。
想象一下,如果您想要一个较低的电压(例如,如果您想要将 12V 降至 4V),则方波将在三分之一的时间内打开,在三分之二的时间内关闭。
如果你想要 2V,那么你必须相应地改变比率。
事实证明,现代 CPU 会改变它们的频率和电压,以管理电源和过热。
因此,通过改变 CPU 中一个或多个内核的 CPU 负载——通过以相对较低的频率(每秒 5000 到 8000 次)增加和减少任务——他们能够获得切换模式电源在那些低频下*切换其开关模式*。
这会从电路走线或电源中的任何铜线产生非常低频的无线电辐射。
而且他们能够使用不比简单的环路复杂的无线电天线检测到这些辐射!
那么,你用电线环做什么?
好吧,道格,你假装它是麦克风线或耳机线。
你将它连接到 3.5 毫米音频插孔,然后将它插入你的手机,就像它是一副耳机一样......
道格。 哇。
鸭。 您录制从线路环路生成的音频信号——因为音频信号基本上是您接收到的极低频无线电信号的数字表示。
当他们使用笔记本电脑时,他们能够以每秒 100 位的速率从中提取数据,使用 Raspberry Pi 时为每秒 200 位,在任何地方以每秒 1000 位的速度提取数据,错误率非常低,从台式电脑。
您可以以那种速度获取 AES 密钥、RSA 密钥,甚至是小数据文件。
我认为这是一个引人入胜的故事。
如果你经营一个安全区域,你肯定想跟上这些东西,因为俗话说,“攻击只会变得更好,或更聪明。”
道格。 和较低的技术。 [笑声]
一切都是数字的,除了我们有这个模拟泄漏被用来窃取 AES 密钥。
这很迷人!
鸭。 提醒一下,你需要考虑安全墙的另一边是什么,因为“眼不见心不烦”。
道格。 嗯,这很符合我们的 最后的故事 – 看不见的东西,但不是心不在焉的:
如果您曾经构建过网页,您就会知道您可以将分析代码(一小行 JavaScript)放入其中,供 Google Analytics 或类似公司查看您的统计数据。
2010 年代初期有一家名为 Cockpit 的免费分析公司,因此人们将这个 Cockpit 代码——这一小行 JavaScript——放在他们的网页中。
但 Cockpit 在 2014 年关闭,并让域名失效。
然后,到了 2021 年,网络犯罪分子认为,“一些电子商务网站仍在运行此代码; 他们仍然称这个为 JavaScript。 为什么我们不买下域名,然后我们可以将我们想要的任何东西注入到这些还没有删除那行 JavaScript 的网站中呢?”
鸭。 是的。
什么可能是正确的,道格?
道格。 [笑] 没错!
鸭。 XNUMX年!
他们会在他们所有的测试日志中都有一个条目说, Could not source the file cockpit.js (或者不管它是什么) from site cockpit.jp,我认为是。
因此,正如您所说,当骗子再次点亮域并开始将文件放在那里以查看会发生什么时……
......他们注意到大量电子商务网站只是盲目而愉快地在客户的网络浏览器中消费和执行骗子的 JavaScript 代码。
道格。 [LUAGHING]“嘿,我的网站不再抛出错误,它正在运行。”
鸭。 [难以置信]“他们一定是修好了”……为了对“修好”这个词有一些特殊的理解,道格。
当然,如果您可以将任意 JavaScript 注入到某人的网页中,那么您几乎可以让该网页执行您想要的任何操作。
如果,特别是,你的目标是电子商务网站,你可以设置本质上是间谍软件的代码来寻找特定的网页,这些网页有特定的网页表单,上面有特定的命名字段……
……比如护照号码、信用卡号码、CVV,不管是什么。
你基本上可以提取用户输入的所有未加密的机密数据,即个人数据。
它还没有进入 HTTPS 加密过程,所以你把它从浏览器中吸出来,你自己*对它进行 HTTPS 加密,然后将它发送到骗子运行的数据库中。
当然,您可以做的另一件事是,您可以在网页到达时主动更改它们。
因此,您可以引诱某人访问一个网站——一个*正确*的网站; 这是他们以前访问过的网站,他们知道他们可以信任(或者他们认为可以信任)。
如果该网站上有一个网络表单,比如说,通常会要求他们提供姓名和帐户参考号,那么,您只需坚持几个额外的字段,并且假设该人已经信任该网站……
……如果你说姓名、ID 和 [添加] 生日?
他们很可能只是打算输入自己的生日,因为他们认为,“我想这是他们身份检查的一部分。”
道格。 这是可以避免的。
你可以从 检查基于网络的供应链链接.
鸭。 是的。
也许每七年一次会是一个开始? [笑声]
如果你不看,那么你真的是问题的一部分,而不是解决方案的一部分。
道格。 你也可以,哦,我不知道…… 检查你的日志?
鸭。 是的。
再一次,每七年一次可能会开始?
道格,我只想说说我们之前在播客上说过的话……
…如果你要收集你从未看过的日志,*根本就不要费心去收集它们*。
别开玩笑了,不要收集数据。
因为,实际上,如果你收集数据而不查看数据,那么最好的事情就是,错误的人不会错误地得到它。
道格。 然后,当然要定期执行测试交易。
鸭。 我应该说,“每七年一次是开始”吗? [笑声]
道格。 当然,是的...... [WRY] 我想这可能很正常。
鸭。 如果您是一家电子商务公司,并且希望您的用户访问您的网站、习惯特定的外观和感觉并信任它……
…那么你应该感谢他们来测试外观和感觉是否正确。
定期和频繁。
很简单。
道格。 好的,棒极了。
随着节目开始结束,让我们听听一位读者对这个故事的看法。
拉里评论:
查看您基于网络的供应链链接?
希望 Epic Software 在将 Meta 跟踪错误发送给所有客户之前就这样做了。
我相信新一代的开发人员认为开发就是在互联网上的任何地方找到代码片段,然后不加批判地将它们粘贴到他们的工作产品中。
鸭。 要是我们不开发那样的代码就好了……
......你去哪里,“我知道,我会使用这个图书馆; 我将从我发现的这个很棒的 GitHub 页面下载它。
哦,它需要一大堆其他东西!?
哦,你看,它能自动满足要求……好吧,那就这样吧!”
不幸的是,您必须*拥有自己的供应链*,这意味着了解其中的一切。
如果您正在考虑软件物料清单 [SBoM],道路,您认为“是的,我将列出我使用的所有东西”,仅仅列出您使用的第一级东西是不够的。
你还需要知道,并且能够记录,并且知道你可以信任,这些东西所依赖的所有东西,等等:
小跳蚤的背上有更小的跳蚤来咬它们,更小的跳蚤有更小的跳蚤,如此循环往复。
*这就是*您必须追查供应链的方式!
道格。 说得好!
好的,非常感谢 Larry 发送评论。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@NakedSecurity。
这就是我们今天的节目; 非常感谢您的聆听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒你,直到下一次……
两个都。 保持安全!
[音乐调制解调器]
![S3 Ep117:不是的加密货币危机(永远告别 Win 7)[音频 + 文本]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117:不是的加密货币危机(永远告别 Win 7)[音频 + 文本]")
![S3 Ep97:你的 iPhone 被盗了吗? 你怎么知道的? [音频+文字] PlatoBlockchain 数据智能。 垂直搜索。 哎。](https://platoblockchain.com/wp-content/uploads/2022/08/iph-1200-300x156.png "S3 Ep97:你的 iPhone 被盗了吗? 你怎么知道的? [音频+文字]")
