modzero でドライバーのキーロギングについて読んだところ、明らかにすべてのキーストロークが利用可能になっています。これによりどれだけ露出されますか?私の露出を減らすことができますか?
リスク:この問題によって作成される追加の「攻撃面」はありません。つまり、感染していないマシンがあれば、攻撃に対して脆弱ではなくなります。ここでの真のリスクは、ifマシンが以前に侵害された/侵害された場合、攻撃者は(独自のキーロガーをインストールする必要がある場合より)キーストロークを簡単にキャプチャできることです。ログファイルを介した(最後のログオン以降の)キーストローク履歴。多くのAV製品はキーストロークロガーのインストールを検出しますが、署名されたドライバーはすでにそれを含んでいるため、見過ごされる可能性があります(とにかく、信頼できるセキュリティソフトウェアプロバイダーが影響を受けるドライバーを危険だとすぐにリストすることを期待しています)。 Modzeroによって指摘された唯一の他の考慮事項は、どこかでパブリックユーザーフォルダーをバックアップしている場合、バックアップにログファイルのコピーが含まれることもあります(ここでも、IMHOはありそうもない現実のシナリオです)。
Mitigation:テストしたところ、MicTray.logが0バイトの場合でも(インターネットや私の観察で報告されている一般的な出来事のように)、MicTray [64の場合にのみ削除/名前変更できることがわかりました。 ] .exeが強制終了されます。
約40台のマシンが影響を受けたため、次のバッチファイルを作成して、問題をプッシュアウトして軽減しました。アンダースコアを含むようにすべてのファイルの名前を変更するため、それらのファイルが正常に実行されなくなります。これにより、必要に応じて取り消すことができます。この回避策の唯一の犠牲は、関連するシステムトレイと関連機能の欠如です(IMHOはとにかくほとんど使用されません)。
taskkill /IM MicTray.exe
taskkill /IM MicTray64.exe
ren c:\users\public\MicTray.log MicTray.log_
ren c:\windows\system32\MicTray.exe MicTray.exe_
ren c:\windows\system32\MicTray64.exe MicTray64.exe_
最も簡単な方法は、ファイルを削除できるかどうか(できない場合はセーフモードで削除する)を確認し、テキストファイルとして再作成して、読み取り専用にすることです。
これにより、ファイルへの書き込みプロセスが停止します。他の問題はないようです。
これについてより多くの情報が発見されると、この欠陥のない更新されたドライバー、または別のより良い回避策があると確信していますが、これはすぐに実装できるものです。
この欠陥は、誰かが既にシステムにアクセスできる場合にのみ問題になることに注意してください。すべてのキーストロークをログに記録するのは明らかに悪いことですが、情報を取得するためにこれらのキーストロークを読み取る必要があります。ファイルはローカルマシン以外では共有されません。
キーロガーはそこにあり、出力がMicTray.logファイルに書き込まれなくても機能します。 SysInternals auiteのDbgViewプログラムを使用して、キーロガーの動作を確認できます。私の場合、Windows 10はドライバを更新し、MicTray.exeを削除して、flow.exeと呼ばれる別の面白いプログラムをインストールしました(youtube.comに?)。インターネット。キーロガーの代わりとして私がタイプしたもののサウンドを違法にブロードキャストする以外は、もう存在できません。