所有Windows用户应立即更新为“完全控制”黑客确认

所有Windows用户应立即更新为“完全控制”黑客确认
几周前，来自网络安全公司Eclipsisim的研究人员揭示几乎所有的主要硬件制造商都有一个缺陷，可以允许恶意应用在用户级获得内核特权，从而获得对固件和硬件的直接访问。
研究人员发布了BIOS供应商和硬件制造商名单，其中包括东芝、华硕、华为、英特尔、NVIDIA等。该缺陷还影响Windows的所有新版本，包括Windows 7, 8、8.1和Windows 10。虽然微软已经发布了一份声明，确认Windows Debug有能力处理这个问题，但他们没有提到用户需要在最新版本的Windows上获益。对于较旧版本的Windows，微软注意到它将使用HVCI（Hyvistor强制代码完整性）能力来黑名单报告给他们的驱动程序。不幸的是，这个特性只能在第七代和以后的英特尔处理器上使用，所以旧的CPU，或者新的HCVI被禁用的驱动器，需要手动卸载驱动程序。

如果这还不算是坏消息，黑客现在已经设法利用这个漏洞来开发用户。远程访问木马或老鼠已经存在多年，但最近的发展使它比以往更加危险。NeNoCro老鼠曾在黑暗网络上卖了25美元，但在2014被破解，免费版本被黑客利用。在此之后，该工具变得复杂，因为新的插件被添加到它。现在，来自LMNTRX实验室的研究人员发现了一个新的添加，允许黑客利用这个漏洞，该工具现在可以在黑暗的网络上免费使用。
如果你低估了该工具，它可以允许黑客远程关闭或重新启动系统，远程浏览文件，访问和控制任务管理器，注册表编辑器，甚至鼠标。不仅如此，攻击者还可以打开网页，禁用摄像头活动灯，以窥探受害者未被注意，并捕获音频和视频。由于攻击者已完全访问计算机，他们还可以恢复密码和获取登录凭据使用键盘记录器，并锁定计算机与自定义加密，可以像勒索软件。
好消息是NeNCORE鼠已经存在多年，该软件是安全研究人员所熟知的。LMNTRX团队（通过福布斯将检测技术分为三大类：
●T1064 -脚本：由于系统管理员通常使用脚本来执行常规任务，任何合法脚本程序的异常执行，如PuthBeSk或WScript，都可以指示可疑行为。检查宏文件的Office文件也有助于识别攻击者使用的脚本。Office进程，如WordWord EXE产卵实例的CMD.EXE，或脚本应用程序，如WScript .EXE和Posithel.EXE，可能指示恶意活动。
●T1060-注册表运行键/启动文件夹：监视运行键的变化，这些运行键与已知的软件或补丁周期不相关，并且监视启动文件夹以进行添加或更改，可以帮助检测恶意软件。在启动时执行的可疑程序可能会显示为与历史数据相比较之前未见过的异常值过程。像LMNTRIX响应这样的解决方案，它监控这些重要的位置，并为任何可疑的变化或添加提出警报，可以帮助检测这些行为。
●T1193 -鱼雷附件：网络入侵检测系统，如LMNTRIX检测，可用于检测在运输过程中带有恶意附件的垃圾邮件。在LMNTRIX检测的情况下，内置爆震室可以检测恶意附件的行为，而不是签名。这是至关重要的，因为基于签名的检测常常无法保护经常改变和更新其有效载荷的攻击者。
总的来说，这些检测技术适用于组织和个人/家庭用户，现在最好做的是更新每一个软件以确保它在最新版本上运行。这包括Windows驱动程序，第三方软件，甚至Windows更新。最重要的是，不要下载或打开任何可疑的电子邮件或安装任何第三方软件从一个未知的供应商。