隨著「完全控制」駭客攻擊得到確認，所有 Windows 用戶都應立即更新

幾週前，來自網絡安全公司 Eclypsium 的研究人員 發現 幾乎所有主要硬件製造商都存在一個缺陷，可以讓惡意應用程序在用戶級別獲得內核權限，從而獲得對固件和硬件的直接訪問權限。

研究人員發布了一份 BIOS 供應商和硬件製造商名單，其中包括東芝、華碩、華為、英特爾、英偉達等。 該漏洞還影響所有新版本的 Windows，包括 Windows 7、8、8.1 和 Windows 10。雖然微軟已經發布聲明確認 Windows Defender 完全有能力處理這個問題，但他們沒有提到用戶需要要在最新版本的 Windows 上使用相同的功能。 對於舊版本的 Windows，微軟指出它將使用 HVCI（Hypervisor-enforced Code Integrity）功能將報告給他們的驅動程序列入黑名單。 不幸的是，此功能僅適用於第 7 代和更高版本的 Intel 處理器； 因此較舊的 CPU 或禁用 HCVI 的較新 CPU 需要手動卸載驅動程序。

如果這還不夠壞消息，黑客現在已經設法利用該漏洞來利用用戶。 遠程訪問木馬或 RAT 已經存在多年，但最近的發展使其比以往任何時候都更加危險。 NanoCore RAT 曾經在 Dark Web 上以 25 美元的價格出售，但在 2014 年被破解，免費版本提供給了黑客。 在此之後，隨著新插件的添加，該工具變得複雜。 現在，LMNTRX 實驗室的研究人員發現了一個新的附加功能，可以讓黑客利用該漏洞，該工具現在可以在暗網上免費使用。

如果您低估了該工具，它可以讓黑客遠程關閉或重新啟動系統、遠程瀏覽文件、訪問和控制任務管理器、註冊表編輯器，甚至鼠標。 不僅如此，攻擊者還可以打開網頁、禁用網絡攝像頭活動燈以在不被注意的情況下監視受害者並捕獲音頻和視頻。 由於攻擊者擁有對計算機的完全訪問權限，他們還可以使用鍵盤記錄器恢復密碼並獲取登錄憑據，並使用可以像勒索軟件一樣的自定義加密來鎖定計算機。

好消息是 NanoCore RAT 已經存在多年，該軟件為安全研究人員所熟知。 LMNTRX 團隊 (通過 福布斯) 將檢測技術分為三大類：

• T1064 – 腳本： 由於系統管理員通常使用腳本來執行日常任務，因此合法腳本程序（如 PowerShell 或 Wscript）的任何異常執行都可能表明存在可疑行為。 檢查 Office 文件中的宏代碼還可以幫助識別攻擊者使用的腳本。 Office 進程（例如生成 cmd.exe 實例的 winword.exe 或 wscript.exe 和 powershell.exe 等腳本應用程序）可能表明存在惡意活動。

• T1060 – 註冊表運行鍵/啟動文件夾： 監控註冊表以查找與已知軟件或補丁週期無關的運行密鑰的更改，並監控開始文件夾的添加或更改，可以幫助檢測惡意軟件。 與歷史數據相比，啟動時執行的可疑程序可能會顯示為以前從未見過的異常進程。 LMNTRIX Respond 等解決方案可監控這些重要位置並針對任何可疑更改或添加發出警報，有助於檢測這些行為。

• T1193 – 魚叉式釣魚附件： 網絡入侵檢測系統，例如 LMNTRIX Detect，可用於檢測傳輸中帶有惡意附件的魚叉式網絡釣魚。 在 LMNTRIX Detect 的案例中，內置引爆室可以根據行為而不是簽名檢測惡意附件。 這一點至關重要，因為基於簽名的檢測通常無法抵禦頻繁更改和更新其有效負載的攻擊者。

總的來說，這些檢測技術適用於組織和個人/家庭用戶，現在最好的辦法是更新每個軟件，以確保它在最新版本上運行。 這包括 Windows 驅動程序、第 3 方軟件甚至 Windows 更新。 最重要的是，不要下載或打開任何可疑的電子郵件或安裝來自未知供應商的任何第三方軟件。