Ho letto della registrazione dei tasti del conducente su modzero , e che a quanto pare sta rendendo disponibili tutte le mie battute. Quanto sono esposto da questo, e posso ridurre la mia esposizione?
Ho letto della registrazione dei tasti del conducente su modzero , e che a quanto pare sta rendendo disponibili tutte le mie battute. Quanto sono esposto da questo, e posso ridurre la mia esposizione?
del rischio: Non esiste una "superficie di attacco" aggiuntiva creata da questo problema. In altre parole, fornita una macchina non infetta, non sei più vulnerabile agli attacchi. Il vero rischio è che se la tua macchina è / era già stata compromessa, un hacker potrebbe più facilmente (che dover installare il proprio keylogger) catturare le tue battute e possibilmente la cronologia (dall'ultimo accesso) tramite il file di registro. Molti prodotti AV rilevano l'installazione di un registratore di tasti, ma dal momento che il driver firmato lo include già, potrebbe essere trascurato (anche se ciò detto mi aspetterei che qualsiasi fornitore di software di sicurezza stimabile possa presto elencare i driver interessati come pericolosi in ogni caso). L'unica altra considerazione, come sottolineato da Modzero, se si esegue il backup della cartella utente pubblica ovunque, i backup potrebbero anche includere copie del file di registro (di nuovo IMHO è uno scenario improbabile del mondo reale).
Mitigazione: L'abbiamo testato e abbiamo scoperto che anche se MicTray.log è 0 byte (come è un'occorrenza comune riportata sugli internets e sulla mia osservazione), può essere cancellato / rinominato solo se viene ucciso MicTray [64] .exe.
Poiché avevamo circa 40 macchine interessate, abbiamo creato il seguente file batch per estrapolare e mitigare il problema. Rinomina tutti i file per includere un trattino basso e quindi impedisce loro di essere eseguiti normalmente. Ciò consente l'inversione se necessario. L'unica vittima di questa soluzione alternativa è la mancanza della barra delle applicazioni rilevante e delle funzionalità associate (che IMHO è raramente utilizzato in ogni caso).
taskkill /IM MicTray.exe
taskkill /IM MicTray64.exe
ren c:\users\public\MicTray.log MicTray.log_
ren c:\windows\system32\MicTray.exe MicTray.exe_
ren c:\windows\system32\MicTray64.exe MicTray64.exe_
Il modo più semplice è vedere se è possibile eliminare il file (eliminarlo in modalità provvisoria se non è possibile) e quindi ricrearlo come file di testo e renderlo di sola lettura.
Questo impedirà al processo di scrivere sul file, apparentemente senza altri problemi.
Man mano che maggiori informazioni vengono scoperte su questo sono sicuro che ci sarà un driver aggiornato senza questo difetto, o un'altra soluzione migliore, ma questo è qualcosa che puoi implementare immediatamente.
Si noti che questo difetto è solo un problema se qualcuno ha già accesso al proprio sistema, ovviamente avere tutte le sequenze di tasti registrate è errato, ma richiede comunque a qualcuno di leggere queste sequenze di tasti per ottenere qualsiasi informazione e per quanto possiamo dirlo lontano, questo file non è condiviso da nessun'altra parte che sul computer locale.
Il keylogger è presente e funziona anche se l'output non è inserito nel file MicTray.log. È possibile visualizzare il keyloger in azione utilizzando il programma DbgView di SysInternals auite. Nel mio caso, Windows 10 ha aggiornato il driver e rimosso MicTray.exe solo per installare un altro programma divertente chiamato flow.exe che sta provando su internet (a youtube.com?). Non ho idea del perché un driver audio debba connettersi a Internet, oltre a trasmettere illegalmente il suono di ciò che digito come un povero sostituto per il keylogger che non può esserci più.
Leggi altre domande sui tag keyloggers cve