查看: 2707|回复: 23
收起左侧

[讨论] 想讨论一下后门程序可否通过windows update进入用户系统。

[复制链接]
a2120258
发表于 2018-4-26 16:39:24 | 显示全部楼层 |阅读模式
如题,想讨论一下,如果有人入侵了微软的更新服务器,将后门程序植入进去。那么windows 10这样的不能自主控制更新的操作系统,是否会因为自动更新而被后门入侵。以前江民杀毒软件的升级服务器被入侵植入了木马病毒,导致升级江民杀毒软件的用户都感染了木马病毒。那么操作系统的更新是否也有可能这样入侵呢?windows 10的自动更新还不能自主关闭,那么只要入侵windows update服务器就可以控制全球大多数电脑了。
风之咩~
发表于 2018-4-26 16:56:28 | 显示全部楼层
既然前提是都已经能入侵微软了 不管是可行性还是技术手段当然都不是问题
不过你应该不是来讨论这个的 只是想说win10的不可控而已 那么你觉得微软和用户相连的只有更新通道么
a2120258
 楼主| 发表于 2018-4-26 18:05:04 | 显示全部楼层
风之咩~ 发表于 2018-4-26 16:56
既然前提是都已经能入侵微软了 不管是可行性还是技术手段当然都不是问题
不过你应该不是来讨论这个的 只是 ...

感觉windows 10就是管的太多了,将用户完全傻瓜化,完全没有给用户应有的思考。像更新这些东西,完全是用户需要更新就更新,不需要更新,就没必要强求。毕竟用户自己的设备由用户自己管理,windows 10要是把自动更新,云服务,小娜语音,自带的杀毒软件之类的全部剔除出去,由用户自我选择是否需要,那么windows 10应该还算不错的操作系统。
a2120258
 楼主| 发表于 2018-4-26 18:08:06 | 显示全部楼层
本帖最后由 a2120258 于 2018-4-26 18:10 编辑
风之咩~ 发表于 2018-4-26 16:56
既然前提是都已经能入侵微软了 不管是可行性还是技术手段当然都不是问题
不过你应该不是来讨论这个的 只是 ...

我记得好几年前江民杀毒软件的升级服务器被入侵了,然后凡是升级杀毒软件的用户都被感染木马病毒。这个事情在当时闹的挺大的,2013年1月28号江民升级后全盘被感染木马病毒现在网络上已经搜不到了。假如有一天微软的升级服务器被入侵,那么是否意味者黑客可以将开启自动更新的windows 10设备全部变成肉鸡呢?说实在的最讨厌windows 10的自动升级和云服务了。
ghostByWolf
发表于 2018-4-27 11:02:04 | 显示全部楼层
a2120258 发表于 2018-4-26 18:08
我记得好几年前江民杀毒软件的升级服务器被入侵了,然后凡是升级杀毒软件的用户都被感染木马病毒。这个事 ...

能够干掉微软更新服务器的组织或个人,肯定可以通过其他方式攻击,控制个人的电脑,不用纠结这种想法...
再者 能够入侵微软服务器并替换掉正常的文件,而且数字签名认证通过的. 细思恐极
..不喜欢win10的那些组件的可以使用 网信版......
a2120258
 楼主| 发表于 2018-4-27 12:20:09 | 显示全部楼层

RE: 想讨论一下后门程序可否通过windows update进入用户系统。

ghostByWolf 发表于 2018-4-27 11:02
能够干掉微软更新服务器的组织或个人,肯定可以通过其他方式攻击,控制个人的电脑,不用纠结这种想法...
再 ...

这种做法确实可行的,记得2013年1月28日吗?黑客通过杀毒软件的升级服务器,大面积感染用户电脑。凡是升级的都被全盘感染,没有升级的或者没有使用那款杀毒软件的,就没事。那么换个角度,黑客入侵windows update服务器,植入后门,那么自动更新的电脑就将全面感染病毒,这种事情还是有可能的。像这样的入侵价值比较高,因为一旦成功,几乎所有自动更新的windows都将变成肉鸡。记得几年前杀毒软件查杀系统组件吗?当时很多人都说是误杀,但是我觉得不一定是误杀,因为微软升级补丁后,多款杀毒软件对其报毒,而查杀后,系统奔溃。
ghostByWolf
发表于 2018-4-27 13:32:09 | 显示全部楼层
a2120258 发表于 2018-4-27 12:20
这种做法确实可行的,记得2013年1月28日吗?黑客通过杀毒软件的升级服务器,大面积感染用户电脑。凡是升 ...

这种问题无解啊....
而且微软现在很明显,不想放手这一块儿的权限.为了冲业绩 强制升级系统这种事情都干的出来,更别说无法关闭 自动更新了...
只能祈祷 微软安全工作做的很好...
这种事情不是一次两次了....但是没办法.除非我们现在有能够和win,linux,unix这些系统抗衡的系统 以及软件生态圈...否则一切都是无用功.
a2120258
 楼主| 发表于 2018-4-27 13:53:29 | 显示全部楼层

RE: 想讨论一下后门程序可否通过windows update进入用户系统。

ghostByWolf 发表于 2018-4-27 13:32
这种问题无解啊....
而且微软现在很明显,不想放手这一块儿的权限.为了冲业绩 强制升级系统这种事情都干 ...

linux操作系统好像不适合普通用户,不够直接友好,还是宏内核。说句实在的宏内核没有混合内核好。
ghostByWolf
发表于 2018-4-27 14:19:40 | 显示全部楼层
a2120258 发表于 2018-4-27 13:53
linux操作系统好像不适合普通用户,不够直接友好,还是宏内核。说句实在的宏内核没有混合内核好。

但是linux  升级服务器 不依靠某个特定的服务器去升级....而且维护的组织还是比较多的...被攻击的可能性不大
峪飞鹰
发表于 2018-4-27 15:06:23 | 显示全部楼层
本帖最后由 峪飞鹰 于 2018-4-27 15:57 编辑

这种情况当然可能发生,并且自动更新系统可以当作后门来理解。

微软(以及合法的计算机公司),会使用一整套安全措施来避免楼主提到的情况发生。

实现这个目的的方案就是“数字证书”。

数字证书可以理解为一对密钥,密钥分私钥和公钥,公钥公开,任何人都能拿到。私钥保密,只有持有者拥有。私密钥加密的数据,唯公钥可解;公钥加密的数据,唯私钥可解。这就形成了严密的加密保护。

那么,数字证书就是,计算文件本身的 hash 值,然后用私钥对 hash 值加密,所有拿到公钥的人,可以重新运算一遍 hash,然后用发布者(开发商的)公钥解密加密的 hash,和自己计算的 hash 比较,相等就说明,文件未经篡改。

比如:

snipaste20180427_145352.png

这是一张微软软件的发布证书,随 exe 附送。其中含有 3 张数字证书的公钥及数据。三张证书中的根证书,签署第二层的中级证书,第二层的中级证书,签署最下面的证书,最下面的证书签署整个 exe 文件(或者 cab 包)。

这里面层层计算,必须都合法,才能判定文件未被篡改。你试着拿任何微软的 exe 文件,改一个字节,然后再看,证书会提示无效。

这里面根证书是最难破解的(通过公钥推导出私钥),并且是物理保护的(什么意思?就是放在用层层防核弹的墙包围的房间里,与网络完全断开,进出人员要筛选登记等)。

所以,即使你攻破了微软的自动更新服务器,你拿到了微软的文件,你想改它虽然可以随便改,但是你过不了系统的证书签名和验证。当 Windows 自动更新执行的时候,下载下来的文件会完整校验整个签名合法性,如果文件没有通过签名校验,那么是不会被执行的。

而且你要知道,虽然你访问的是微软的下载文件域名(如 download.microsoft.com —— 自动更新不使用这个域名,仅举例),实际上可能访问的只是你网络的 ISP 提供的缓存计算机,或者 CDN 服务商提供的分发服务器。这些服务器上存的文件一样可以被服务提供者而非微软修改,但改了没用,过不了数字签名验证。不过这些服务器的篡改可能是意外造成的,如写入文件错误什么的,这会导致部分地区的人更新 Windows Update 的时候持续报告文件损坏的错误,而无法正常更新。

至于 Linux,其实也使用的是这一套方案,但方法不同,Linux信任的是开发商(每个软件发布者)自身的信用,他通过发布者将发布的 gpg 公钥上传到发布服务器,来验证发布文件是否来源属于发布者本人。

最后,数字签名还有很多可以谈,不符合我们的讨论范围,只好就此打住。

简言:仅仅攻破微软的更新服务器是没有用的,你必须拿到签署文件的证书私钥,把被修改的文件重新签名,才能让自动更新系统执行。

插曲:楼上提到的江民的那个,实在是低级错误,说明他当年的自动更新代码逻辑中,不会判断证书,或者判断有错误的地方。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 13:54 , Processed in 0.135679 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表