微軟Windows這波操作,著實(shí)把我嚇了一跳!
共 1659字,需瀏覽 4分鐘
·
2024-04-18 08:51
大家好,我是軒轅。
上周的某天早上,我剛到公司,旁邊的小伙伴就神神秘秘地告訴我:
“軒哥,你電腦是不是被種馬了?”
我一聽(tīng)瞪大了眼睛,趕忙問(wèn)什么情況。
“我在XXX上看到你的IP在大量請(qǐng)求公司其他人的電腦,有點(diǎn)像橫向移動(dòng)”
我腦子嗡了一下!
這里補(bǔ)充一下背景:
1、XXX是一款產(chǎn)品,用來(lái)分析網(wǎng)絡(luò)通信流量中的網(wǎng)絡(luò)攻擊行為。
2、橫向移動(dòng)是網(wǎng)絡(luò)攻擊的一個(gè)術(shù)語(yǔ),攻擊者拿下一臺(tái)主機(jī)后,一般會(huì)進(jìn)一步探測(cè)目標(biāo)主機(jī)所處的網(wǎng)絡(luò)環(huán)境,然后嘗試入侵同局域網(wǎng)中更多的主機(jī),稱(chēng)之為橫向移動(dòng)。
我趕緊上XXX平臺(tái)看了一下,果不其然,發(fā)現(xiàn)了我的IP和同網(wǎng)段的其他主機(jī)的7680端口都建立過(guò)連接,幾乎把同網(wǎng)段的主機(jī)都連了一遍,而且就在發(fā)現(xiàn)的當(dāng)下,仍然還在不斷連接其他主機(jī)的7680端口。產(chǎn)品涉密,這里就不方便截圖了。
那一刻,說(shuō)不慌是不可能的。
自己就是搞安全的,這要是出了這么大簍子,那日后可真沒(méi)臉見(jiàn)人了。
趕緊打開(kāi)工具分析了起來(lái),用抓包軟件看了一下,不僅我在連別人的7680端口,別人居然也在連我的7680端口。
先看下我本機(jī)上的7680端口是哪個(gè)進(jìn)程在監(jiān)聽(tīng):
用procexp這個(gè)工具看到進(jìn)程PID是5952:
定位到這個(gè)具體的進(jìn)程,竟然是一個(gè)svchost的進(jìn)程,心情更加郁悶了!因?yàn)閟vchost進(jìn)程是Windows上很多系統(tǒng)服務(wù)的軀殼進(jìn)程,Windows的很多系統(tǒng)服務(wù)都是通過(guò)這個(gè)svchost.exe來(lái)加載對(duì)應(yīng)的服務(wù)dll來(lái)運(yùn)行的。
因?yàn)閃indows系統(tǒng)服務(wù)眾多,所以你打開(kāi)任務(wù)管理器可以看到一堆的svchost進(jìn)程。而很多病毒木馬也喜歡利用這一點(diǎn),藏在svchost里面,這樣可以隱蔽自己,不容易被發(fā)現(xiàn)。
所以當(dāng)我看到是svchost的時(shí)候,心里更加慌了。
但我看進(jìn)程的命令行,又不像是個(gè)惡意的程序。別著急,既然是服務(wù),那就可以看到具體的服務(wù)描述。切換到services服務(wù)tab頁(yè)下,看到了這個(gè)服務(wù)的描述信息:
執(zhí)行內(nèi)容傳遞優(yōu)化服務(wù)
這是個(gè)神馬玩意兒?
于是我搜了一下,在微軟官網(wǎng)找到了這個(gè)東西的介紹:
原來(lái)是Windows用來(lái)做更新用的,它可以通過(guò)局域網(wǎng)內(nèi)其他的Windows主機(jī)來(lái)獲取更新內(nèi)容,并且確實(shí)是使用的7680端口:
最后,我在系統(tǒng)設(shè)置里找到了這個(gè)家伙:
默認(rèn)情況下,系統(tǒng)是開(kāi)啟了這個(gè)開(kāi)關(guān)的,也就是說(shuō),你的Windows系統(tǒng)會(huì)在它認(rèn)為合適的時(shí)候,去主動(dòng)連接局域網(wǎng)的其他主機(jī),向它們獲取更新信息。
微軟這波操作,也是醉了,這個(gè)行為實(shí)在是太像木馬了。咱就是說(shuō),今天這個(gè)新就必須更是嗎?
也許是我火星了,應(yīng)該好幾年前就引入了這個(gè)功能,只不過(guò)這幾年換到Mac后,沒(méi)怎么關(guān)注Windows,偶然被我發(fā)現(xiàn)了罷了。
關(guān)于Windows的更新,也算是圈內(nèi)一個(gè)梗了。一不小心想重啟一下,不好意思,等我更新完成,哪怕當(dāng)前情況再緊急,對(duì)不起,等我更新完成。
不過(guò)還好是虛驚一場(chǎng),趕緊把這玩意兒給關(guān)了。
你有被Windows更新坑過(guò)的經(jīng)歷嗎?