跳转至

Everything

简介#

Everything 是 Windows 下搜索硬盘文件的工具。

更新劫持#

LuoYu APT 组织的 WinDealer 进行了针对 Everything 用户的攻击,通过捕获并控制用户 DNS 请求,或者具备 ISP 级别的黑客工具,从而监控人们的网络流量。1

然后让 Everything 用户下载到被添加了木马的软件更新,接着木马软件会进行这些操作。

  • 扫描硬盘
  • 访问注册表
  • 快速创建和删除大量临时文件
  • UDP 通讯 发送包内容全为 0x00 ,但是包长度不固定

但相关讨论似乎受到了限制,绿盟科技 CERT 发布的调查报告也很快删除了。2


  1. KomeijiSatori, 《Everything 更新服务疑被劫持》, V2EX, 2022-09-07. (参照 2022-09-18). 

  2. NS-CERT, 《【安全事件】针对Everything更新劫持的APT攻击事件解析》, 微信公众号/绿盟科技CERT, 2022-09-14. (参照 2022-09-18). 通告编号:NS-2022-0026 

(由于更新时间是手动更新的,所以部分页面内容已更新,但忘记修改新的日期了……)