Leí sobre el registro clave del controlador en modzero , y que aparentemente está haciendo todas mis pulsaciones disponibles. ¿Cuánto estoy expuesto a esto y puedo reducir mi exposición?
Leí sobre el registro clave del controlador en modzero , y que aparentemente está haciendo todas mis pulsaciones disponibles. ¿Cuánto estoy expuesto a esto y puedo reducir mi exposición?
Riesgo: No hay ninguna "superficie de ataque" adicional creada por este problema. En otras palabras, si se proporciona una máquina no infectada, no es más vulnerable a los ataques. El verdadero riesgo aquí es que si su máquina estaba / estaba comprometida anteriormente, un atacante podría más fácilmente (que tener que instalar su propio keylogger) capturar sus pulsaciones de teclado y posiblemente el historial de pulsaciones (desde el último inicio de sesión) a través de archivo de registro. Muchos productos de AV detectarán la instalación de un registrador de pulsaciones de teclas, pero como el controlador firmado ya lo incluye, podría pasarse por alto (aunque dicho eso esperaría que cualquier proveedor de software de seguridad de buena reputación enumera los controladores afectados como peligrosos de todos modos). La única otra consideración que señala Modzero, si está realizando una copia de seguridad de la carpeta de usuario pública en cualquier lugar, las copias de seguridad también podrían incluir copias del archivo de registro (de nuevo, IMHO, un escenario poco probable en el mundo real).
Mitigación: Lo probamos y encontramos que incluso si MicTray.log tiene 0 bytes (como ocurre con frecuencia en el informe y en mi observación), solo se puede eliminar / cambiar de nombre si se elimina MicTray [64] .exe.
Como teníamos aproximadamente 40 máquinas afectadas, creamos el siguiente archivo de proceso por lotes para eliminar y mitigar el problema. Renombra todos los archivos para incluir un guión bajo y, por lo tanto, evita que se ejecuten normalmente. Esto permite la reversión si es necesario. La única casualidad de esta solución es la falta de la bandeja del sistema relevante y la funcionalidad asociada (que IMHO rara vez se utiliza de todos modos).
taskkill /IM MicTray.exe
taskkill /IM MicTray64.exe
ren c:\users\public\MicTray.log MicTray.log_
ren c:\windows\system32\MicTray.exe MicTray.exe_
ren c:\windows\system32\MicTray64.exe MicTray64.exe_
La forma más sencilla es ver si puede eliminar el archivo (elimínelo en modo seguro si no puede) y luego recrearlo como un archivo de texto y hacerlo de solo lectura.
Esto detendrá el proceso de escritura en el archivo, aparentemente sin ningún otro problema.
A medida que se descubra más información sobre esto, estoy seguro de que habrá un controlador actualizado sin este defecto u otra solución mejor, pero esto es algo que puede implementar de inmediato.
Tenga en cuenta que esta falla es solo un problema si alguien ya tiene acceso a su sistema, obviamente tener todas las pulsaciones registradas es mala, pero aún así requiere que alguien lea estas pulsaciones para obtener información y hasta donde podemos decir. lejos, este archivo no se comparte en ningún otro lugar que no sea en la máquina local.
El keylogger está allí y funciona incluso si la salida no se coloca en el archivo MicTray.log. Puede ver el keyloger en acción usando el programa DbgView de SysInternals auite. En mi caso, Windows 10 actualizó el controlador y eliminó el MicTray.exe solo para instalar otro programa divertido llamado flow.exe que está intentando conectarse a Internet (¿a youtube.com?) Realmente no tengo idea de por qué un controlador de sonido necesitaría conectarse. Internet, aparte del sonido de difusión ilegal de lo que escribo como un pobre reemplazo para el keylogger que ya no puede estar allí.
Lea otras preguntas en las etiquetas keyloggers cve