大佬们软件自动更新的exe文件被替换的攻击怎么防御啊

rrorr

“通过替换正常软件的自动更新网络数据，使这些软件下载木马并执行。很多正规软件都直接运行在管理员模式下，还帮木马省去了提权的麻烦。”

那个时候我还在用火绒和HMPA，然后hmpa自动更新了。
结果火绒报捆绑软件，我一看文件名是hmpa的，但是图标是独霸的
也就是说图上所说的是可行的（虽然这次只是想赚推广费的）

所以大佬们有什么方法吗？HIPS手工监控？全局禁止exe运行？

Jerry.Lin

HMPA会捆绑毒霸？？？？


楼主能先用HMP扫描下么？

lkm458307592

啊？我竟然想不出毒霸是啥样子了，金山现在还在做杀软嘛

qftest

查找所使用的安软是否具备EMSI BB类似的防护手段
如上图，若不勾选将被拦截

www-tekeze

HitmanPro.Alert推广毒霸？ 更新包被调包？ 最好能上传样本。

rrorr

191196846 发表于 2019-1-25 14:21
HMPA会捆绑毒霸？？？？

不是啊，是软件自动下载升级包更新，后台静默下载运行的。然后被网络替换成了独霸安装包。
再然后在自动运行时被火绒检测出来了

rrorr

qftest 发表于 2019-1-26 04:25
查找所使用的安软是否具备EMSI BB类似的防护手段
如上图，若不勾选将被拦截

“* 正规软件的自动更新
在网上的分析文章里已经写了，通过替换正常软件的自动更新网络数据，使这些软件下载木马并执行。很多正规软件都直接运行在管理员模式下，还帮木马省去了提权的麻烦。”
当时应该看看父进程是谁的，不过我猜软件的自动升级应该不会特意绕explorer一圈。说实话这个图没怎么看懂

qftest

rrorr 发表于 2019-1-26 15:04
“* 正规软件的自动更新
在网上的分析文章里已经写了，通过替换正常软件的自动更新网络数据，使这些软件 ...

这个图的意思是EMSI具备校验功能，当执行文件与规则集中的记录不一致时会发出警报，与explorer无关，我只是随便截个图举例而已
但这种校验一般只是事后拦截，不一定能阻止李逵变李鬼，原因有很多，比如该软件的自我保护功能为了保护升级过程顺利进行而拒绝了第三方安软的拦截，又或者系统程序被注入利用以强行替换等等，个人感觉目前是无解的，除非锁定相关文件不允许修改，但那样工作量就太大了
类似的校验功能如果有就更好，虽然不一定能阻止被替换，至少可以避免进一步的损失，手动的话可以考虑ERP，或者SSP也行，这些软件都可以校验哈希值确保被执行的是原程序