[討論] Intel AMT + Windows 10 1703被駭

看板AntiVirus作者 (眾生都是未來佛)時間7年前 (2017/05/24 12:13), 7年前編輯推噓9(9029)
留言38則, 14人參與, 最新討論串1/1
個人一向的習慣不喜歡裝防毒軟體(怕影響效能), 不亂載程式,定期更新Windows。 (目前的OS是Windows 10 x64 1703 build 15036.296。) 已這樣作好一段時間了,但不幸的昨晚破功了。 昨晚在遠端桌面到我的Win 10 PC時,發現居然無法登入, 而是顯示已有一個IIS_USER的帳號已登入了。 後來想用Intel AMT的管理介面登入救援, 但使用OpenMDTK: http://www.meshcommander.com/open-manageability 的Manageability Commander Tool卻無法登入。 web登入介面可以開啟,但輸入帳密也無法登入。 但奇怪的是我回到本機PC操作,開機按Ctrl+P後,使用原密碼卻可以登入! 又奇怪的是當我在Windows 10要裝防毒軟體時, 居然有人用AMT的VNC連到我的電腦!(因為有人連進來,螢幕會閃一個框) 當下我開notepad,輸入: How do you crack my computer? Please tell me. 那個人就切斷VNC連線。 話說我還用Event Viewer查了一下IIS_USER的登入IP,來自台灣: 123.51.185.113 目前我在救援我的電腦,裝了Kaspersky,抓到一些trojan。 還發現駭客在我電腦裝了一些駭客工具: https://github.com/gentilkiwi/mimikatz 目前是用Kaspersky作完整掃描中... 但目前有一未解問題, 就是只要Windows重開機後IIS_USER這個駭客建的帳號就會自動還原, 而且是管理者身分!請問有沒有人知道除了重灌的解法?T.T -- 楞嚴咒(附注音): http://1drv.ms/1c0YbNt -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.115.73.148 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495599215.A.6BE.html ※ 編輯: zxvc (140.115.73.148), 05/24/2017 12:16:00
05/24 12:33, , 1F
拜託你直接重灌
05/24 12:33, 1F
05/24 12:38, , 2F
很可怕的病毒哈哈哈
05/24 12:38, 2F
05/24 12:39, , 3F
之前用vpn被try一氣之下把所有遠端的東西都給關了。網路無
05/24 12:39, 3F
05/24 12:39, , 4F
安全
05/24 12:39, 4F
05/24 12:43, , 5F
有ip就可以提告了
05/24 12:43, 5F
05/24 12:43, , 6F
謝謝g大建議,不過重灌前研究一下駭客入侵所留下的線索也滿
05/24 12:43, 6F
05/24 12:44, , 7F
有用的。像我進一步查出,駭客應該是利用AMT入侵的,我發現
05/24 12:44, 7F
05/24 12:45, , 8F
AMT被建了一些帳號,比如admon, user2。
05/24 12:45, 8F
05/24 12:46, , 9F
目前只好關閉AMT囧
05/24 12:46, 9F
05/24 12:48, , 10F
駭客似乎沒駭進我的Windows帳號,所以才建了一個IIS_USER帳
05/24 12:48, 10F
05/24 12:49, , 11F
號,但他是怎麼建的?不然我認為只要有人在我電腦前就能用相
05/24 12:49, 11F
05/24 12:49, , 12F
同手法(等同用AMT)建帳號囧
05/24 12:49, 12F
05/24 12:51, , 13F
05/24 12:51, 13F
05/24 12:52, , 14F
謝謝p大。
05/24 12:52, 14F
05/24 12:57, , 15F
Kaspersky掃描看來解不了IIS_USER帳號問題,只好重灌了T.T
05/24 12:57, 15F
05/24 13:45, , 16F
123.51.185.113我這邊查是對岸那邊的IP?
05/24 13:45, 16F
05/24 14:52, , 17F
我用這個查IP: https://www.iplocation.net/
05/24 14:52, 17F
05/24 15:54, , 18F
重+用一個中間的的媒介上網,好比有防火牆功能的ip分享器
05/24 15:54, 18F
05/24 15:55, , 19F
重灌+
05/24 15:55, 19F
05/24 16:36, , 20F
123.51.185.113 我查了之後是遠傳,速博,新世紀資通
05/24 16:36, 20F
05/24 16:36, , 21F
旗下的網域。
05/24 16:36, 21F
05/24 16:53, , 22F
所以這個漏洞就只能關遠端了嗎?還是已經有更新包修
05/24 16:53, 22F
05/24 16:53, , 23F
補了?
05/24 16:53, 23F
05/24 17:13, , 24F
05/24 17:13, 24F
05/24 17:20, , 25F
謝謝p大。但我還是有個疑惑,我的AMT密碼與Windows密碼不同
05/24 17:20, 25F
05/24 17:21, , 26F
。AMT如果先被破了,Windows應該沒那麼輕易被破!?
05/24 17:21, 26F
05/24 17:22, , 27F
駭客似乎不知我Windows密碼,才另建一個IIS_USER管理者帳號
05/24 17:22, 27F
05/24 17:23, , 28F
IP應該是香港那邊
05/24 17:23, 28F
05/24 17:23, , 29F
,再裝mimikatz駭客工具想破我的Windows密碼!?
05/24 17:23, 29F
05/24 17:25, , 30F
更正 廣東
05/24 17:25, 30F
05/24 18:19, , 31F
survey了一下,駭客有可能破了AMT後,用AMT的遠端掛載ISO載
05/24 18:19, 31F
05/24 18:21, , 32F
入自己的駭客OS。推論可能用此法新增管理者帳號...
05/24 18:21, 32F
05/24 18:22, , 33F
再沒有更多線索的情形下,建議大家先去BIOS關閉AMT。感謝pl
05/24 18:22, 33F
05/24 18:22, , 34F
大提供重要建議。
05/24 18:22, 34F
05/24 18:26, , 35F
此網址有各家AMT韌體更新時程:http://intel.ly/2ps23kn
05/24 18:26, 35F
※ 編輯: zxvc (36.228.51.190), 05/24/2017 18:27:49
05/25 15:12, , 36F
有ip去報案就ㄧ定能找出是誰駭進來。
05/25 15:12, 36F
05/25 18:59, , 37F
IP也許是跳板
05/25 18:59, 37F
05/26 11:22, , 38F
可借ISP取得來源
05/26 11:22, 38F
更多 zxvc 的文章
文章代碼(AID): #1P9GXlQ- (AntiVirus)