先做个小调查,如果一个exe程序中时间戳是伪造的,存在hijack劫持的字符串,存在判断杀毒软件的代码,存在专门针对中国用户进行特定软件运行情况信息收集功能。请大家投票这是木马还是系统文件?回答是木马的朋友恭喜你答对了,因为avkiller木马家族就是这样的。回答是系统的朋友恭喜你也答对了,因为这就是微软最新更新的explorer资源管理器程序,它就是今天的主角。
如果你是win10用户,并且打开了自动更新,又安装了火绒,恭喜你的debuf叠满了,你的windows资源管理器会直接被火绒视作木马病毒直接杀掉了。此时网上骂声一片,大家似乎都在讨伐火绒,火绒官方也发布了情况说明,然而只教你如何修复,并没有告知真实原因。
今天专攻安全领域的边亮告诉了我真相,没想到是因为微软在其升级补丁KB5034203和KB5034763等补丁包中升级了资源管理器explorer,exe主程序。由于这次更新资源管理器的特征信息太接近木马病毒,导致火绒误认为这就是病毒文件,最终使这个文件被火绒误杀。因为这个系统文件非常重要,如果误杀会导致系统直接瘫痪,普通用户基本上束手无策。
微软到底做了什么手脚?为什么会被火绒当做木马了?本期视频给你石锤,全网独家爆料,大家一定要看完!其实此次事件其实是和360有关,火绒完全躺枪,大家绝对没想到把边亮直接逆向了本次升级补丁KB5034203中的资源管理器主程序:explorer,点exe。首先可以看到explorerexe数字签名完好。看过我以前视频的朋友一定知道数字证书具备防篡改,不可抵赖特性,意味着它就是来自微软官方原汁原味。
然后用FFI打开这个文件,点开这个程序的高级详细信息,可以看到时间戳这里居然是205年。这个时间戳指的是这个程序被编译的时间,比如可以通过这个时间戳看到自己的程序是2023年5月24号下午两点变异的,所以205年这是穿越了吗?
其实伪造时间戳就是牧马的一种伪装手段。
来分享一个背景故事,俄罗斯安全公司卡巴斯基曾经在APT狩猎议题中提到,他们是如何发现美国NSA方程式木马的,其中典型的逻辑是系统文件存在异常编译信息,比如Machine,Timestamp时间戳。
通过微软官方描述可以看出,假如微软系统文件是2005年发布,所以卡巴编写了yara狩猎特征(类似杀毒软件查杀逻辑),逻辑为Machine是AMD64或IA64,TimeStamp范围是从1990-01-01到2004-01-01,用于观测系统是否存在异常文件,从而发现未知木马。
因为正常的系统文件时间戳不应该早于发布时间1年以上,就是根据这条规则,卡巴斯基发现了美国NSA方程式的攻击组件TripleFantasy,美国就是用它攻击的伊朗核设备。更详细的信息限于篇幅就不展开了,感兴趣可以在视频简介里查看英文完整版。
继续看,用IDA来对explorer进行反汇编,在文件的0x00030470位置上看到了大量的360安全卫士的进程名,这意味着微软的资源管理器进程夹带私货,专门针对360安全卫士的进程进行枚举,逆向发现这段代码是专门针对中国的,如果地区是cn就会打点记录ETW日志,监控360软件运行情况。
从杀毒软件的视角上看,这些行为非常类似AVKiller家族木马(AV是反病毒软件AntiVirus的意思,不是AV哈),边亮同步发给我了一个真正的AVKiller本马脱壳样本。大家可以看到,它们都有一个共同特征,都针对知名杀毒软件进行进程枚举。
所以我认为火绒根据这些异常信息把微软发布更新的windows资源管理器视作木马也并不是没有理由的。但为什么360没有把这个资源管理器视作木马?边亮说他早在1月中旬就发现微软发布的KB5034203有问题,那时候这个补丁还没有大规模铺开,所以为了防止出现误杀,边亮他们紧急做了特殊预案,所以360没有出现大规模误杀的情况。
只是没想到,当这个补丁大规模铺开后,火绒却把它杀了,所以火绒完全是躺枪,这件事对火绒来说也是不小的打击。用户只知道是火绒误删了系统文件,火绒默默承担了用户的怒火。根据边亮的分析,微软发布的资源管理器版本从3992到4161(当前最新)都有判断360进程的行为,而且这个补丁专门赶在春节期间大规模铺开(2月13号编译,2月16号发布)。
到这里,我倒是很好奇微软这么做的动机是什么?首先windows的资源管理器是明确有针对性的去碰瓷360进程,这本身就不应该是资源管理器explorer该干的事情,哪怕是任务管理器taskmgr也不应该有明显针对性的行为。windows是操作系统,就应该保持它的中立性和独立性。
而通过这个事件,我个人感觉到一丝丝的不安。假如光凭windows资源管理器就能这么随便的夹带私货,windows中像explorer这样的exe文件有上千个,而dll文件就更数不胜数了。我们不知道到底还有没有其他文件有类似的行为。考虑到windows在国内无论是普通用户还是企业单位,占用率是极高的,一旦出现安全问题,威胁程度完全不敢想象。
这次我不求三连,只求大家把视频分享出去,希望能得到国家有关部门的重视。毕竟我个人只是一个up主,这远超过我的能力范围。
对于普通用户来说,如果避免此类事情发生呢?首先已经被火绒干掉的朋友建议参考火绒官方声明解决。其实这个问题本质是矛盾的,因为对于普通用户来说,关闭自动更新,不安装杀软,确实有安全隐患。而安装了杀软,开启了自动更新,却出现这样的尴尬现状。
真要我给出有价值的建议,我还是建议普通用户适当学习一下常见系统自救手段以及网络安全知识。想一想,这情况和"你是正版软件的受害者"这句话一样讽刺。