DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1436|回复: 0
打印 上一主题 下一主题

[待整理] 解析Windows更新的攻击手段和防御方法

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 15:00:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
最近有关恶意程序“Win32/Jowspry”利用Windows更新服务向用户计算机下载文件,并引起各种灾难的报告给微软Windows用户敲响了警钟。一种应急方式是停止使用Windows更新,防止恶意文件的安装。但是,这如何能够保证Windows电脑全面更新以防御新的安全威胁呢?

  幸运的是情况没有报道得那样严重,我们知道。要与Windows更新网站互动,一台Windows计算机使用后台智能传送服务(BITS)。BITS在后台运行并且集中没有使用的带宽下载补丁和更新程序。它还帮助Windows服务器更新服务、系统管理服务器和微软即时消息产品传输文件。最然这项服务原来并不是Windows的一部分,但是,它已经是Windows SP1、Windows 2000 SP3和现在的Windows操作系统的一部分。

  作为当前操作系统的组件,这个内置的Windows防火墙允许BITS通过互联网发送和接收数据,并且不发出任何警告。通过劫持这项服务,恶意软件作者在利用Windows安全漏洞的时候能够快速绕过它们的一个主要障碍。绕过防火墙的过滤器功能可以使安装恶意软件不会引起任何提示性错误。甚至价格昂贵的基于网络的防火墙也很难区别BITS应该下载什么和不应该下载什么。BITS的低带宽和异步性质也使防火墙很难检测到任何恶意活动。

  那么,为什么这种滥用有用的技术不会引起报警呢?这种攻击实际上不是由Windows更新程序的安全漏洞引起的。攻击者没有向微软网站装载让BITS下载的恶意文件。要让这种攻击奏效,用户必须首先下载并且执行Win32/Jowspry文件。只有到这个时候,这个木马软件才能够利用BITS安装额外的恶意软件。要恶意使用BITS,这个木马程序需要安装到用户的计算机中。BITS不是最初感染的攻击目标。它仅仅是恶意软件在把自己安装到用户计算机时用来绕过防火墙技术的一种机制。

  与Windows更新攻击作斗争的最佳方法是加强用户之间的了解,教育用户了解处理来自不明的来源以及意料之外的来源的消息和文件的安全策略。这将减少用户下载Win32/Jowspry和其它感染计算机的恶意程序。一些专家建议把BITS的访问权限仅仅限制在批准的或者可信赖的网络地址。然而,由于许多第三方软件厂商使用它发布软件更新,这种方法作为绕过漏洞的措施有许多不便。这需要人们认真维护批准的网络地址的白名单。

  虽然这种攻击漏洞表面上看很容易修复,但是,Windows更新攻击突出表明,攻击者的攻击手段越来越高级,他们对Windows操作系统的理解越来越深刻了。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-15 18:36 , 耗时 0.085607 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表