随着“完全控制”黑客攻击得到确认，所有 Windows 用户都应立即更新

几周前，来自网络安全公司 Eclypsium 的研究人员 发现 几乎所有主要硬件制造商都存在一个缺陷，可以让恶意应用程序在用户级别获得内核权限，从而获得对固件和硬件的直接访问权限。

研究人员发布了一份 BIOS 供应商和硬件制造商名单，其中包括东芝、华硕、华为、英特尔、英伟达等。 该漏洞还影响所有新版本的 Windows，包括 Windows 7、8、8.1 和 Windows 10。虽然微软已经发布声明确认 Windows Defender 完全有能力处理这个问题，但他们没有提到用户需要要在最新版本的 Windows 上使用相同的功能。 对于旧版本的 Windows，微软指出它将使用 HVCI（Hypervisor-enforced Code Integrity）功能将报告给他们的驱动程序列入黑名单。 不幸的是，此功能仅适用于第 7 代和更高版本的 Intel 处理器； 因此较旧的 CPU 或禁用 HCVI 的较新 CPU 需要手动卸载驱动程序。

如果这还不够坏消息，黑客现在已经设法利用该漏洞来利用用户。 远程访问木马或 RAT 已经存在多年，但最近的发展使其比以往任何时候都更加危险。 NanoCore RAT 曾经在 Dark Web 上以 25 美元的价格出售，但在 2014 年被破解，免费版本提供给了黑客。 在此之后，随着新插件的添加，该工具变得复杂。 现在，LMNTRX 实验室的研究人员发现了一个新的附加功能，可以让黑客利用该漏洞，该工具现在可以在暗网上免费使用。

如果您低估了该工具，它可以让黑客远程关闭或重新启动系统、远程浏览文件、访问和控制任务管理器、注册表编辑器，甚至鼠标。 不仅如此，攻击者还可以打开网页、禁用网络摄像头活动灯以在不被注意的情况下监视受害者并捕获音频和视频。 由于攻击者拥有对计算机的完全访问权限，他们还可以使用键盘记录器恢复密码并获取登录凭据，并使用可以像勒索软件一样的自定义加密来锁定计算机。

好消息是 NanoCore RAT 已经存在多年，该软件为安全研究人员所熟知。 LMNTRX 团队 (通过 “福布斯”) 将检测技术分为三大类：

• T1064 – 脚本： 由于系统管理员通常使用脚本来执行日常任务，因此合法脚本程序（如 PowerShell 或 Wscript）的任何异常执行都可能表明存在可疑行为。 检查 Office 文件中的宏代码还可以帮助识别攻击者使用的脚本。 Office 进程（例如生成 cmd.exe 实例的 winword.exe 或 wscript.exe 和 powershell.exe 等脚本应用程序）可能表明存在恶意活动。

• T1060 – 注册表运行键/启动文件夹： 监控注册表以查找与已知软件或补丁周期无关的运行密钥的更改，并监控开始文件夹的添加或更改，可以帮助检测恶意软件。 与历史数据相比，启动时执行的可疑程序可能会显示为以前从未见过的异常​​进程。 LMNTRIX Respond 等解决方案可监控这些重要位置并针对任何可疑更改或添加发出警报，有助于检测这些行为。

• T1193 – 鱼叉式钓鱼附件： 网络入侵检测系统，例如 LMNTRIX Detect，可用于检测传输中带有恶意附件的鱼叉式网络钓鱼。 在 LMNTRIX Detect 的案例中，内置引爆室可以根据行为而不是签名检测恶意附件。 这一点至关重要，因为基于签名的检测通常无法抵御频繁更改和更新其有效负载的攻击者。

总的来说，这些检测技术适用于组织和个人/家庭用户，现在最好的办法是更新每个软件，以确保它在最新版本上运行。 这包括 Windows 驱动程序、第 3 方软件甚至 Windows 更新。 最重要的是，不要下载或打开任何可疑的电子邮件或安装来自未知供应商的任何第三方软件。