赤峰打印机价格协会

国家某部委正式下发通知,惠普电脑存在隐藏键盘记录器问题

北京智恒科技2021-01-11 09:20:05

6月,国家某部委下属网络安全和信息化领导小组办公室发布公告,通报了惠普电脑存在隐藏键盘记录器问题。

瑞士安全公司Modzero的安全研究员发现许多惠普笔记本电脑和平板电脑中的Conexant音频驱动程序变身为键盘记录器,记录用户的输入内容。

键盘记录器可以监测用户的每一次击键信息。

该软件不仅捕获特定按键的输入记录,而且还记录了每个按键的点击信息,并将它们存储在一个可读的文件中( C:\Users\Public\MicTray.log)

恶意软件或木马可以利用这一点绕过对可疑行为的安全检测,获取记录文件,窃取用户的账户信息、信用卡卡号、聊天记录、密码等个人信息。

研究人员发现,与Conexant音频驱动程序安装包一起安装的MicTray64.exe应用程序已在Windows系统中注册为计划任务,能够监控键盘输入内容。

用户的键盘记录保存在名为“Users/Public”的文件夹中,可以传送给OutputDebugString调试端口,这个端口允许通过MapViewOfFile函数访问该文件夹中的数据。

“显然,有一些控制音频硬件的部件是非常具体的,并且取决于计算机型号,例如用于打开或关闭麦克风的特殊键或控制计算机上的记录LED。在这个代码中,它似乎是针对HP计算机而定制的,这个代码拦截和处理所有的键盘输入。”

Modzero报告中进一步指出,这种类型的调试将音频驱动程序转换成键盘式间谍软件。

根据文件信息,这个键盘记录器至少在2015年圣诞节前已经存在于惠普电脑上。

2016年10月,惠普更新了MicTray64.exe,增添了诊断功能,记录用户击键内容并存储到本地文件夹。

目前,共有30种型号的惠普电脑装有1.0.0.46版本的MicTray64.exe。

MicTray64.exe 1.0.0.46版本进行击键记录的具体过程如下:

int64 keylogger_enable(bool activate)
{
[...]
if ( !keylogger_active )
{
[...]
// 13=WH_KEYBOARD_LL: Installs a hook procedure that
  // monitors low-level keyboard input events. For 
  // more information, see the LowLevelKeyboardProc 
  // hook procedure.
  hKeyloggerHook = SetWindowsHookExW(
  13, (HOOKPROC)handle_scancode, 
  hSelf, 
  0);

  if ( hKeyloggerHook )
  {
 keylogger_active = 1;
 return 0;
  }

记录功能激活之后,用户每按一次键盘,就会触发以下代码执行:

LRESULT handle_scancode(
int _in_nCode, 
WPARAM _in_wParam, 
tagKBDLLHOOKSTRUCT *_in_lParam_keystroke)
{
 tagKBDLLHOOKSTRUCT *key_stroke;
 WPARAM wParam;
 int nCode;
 int64 target; 
 DWORD is_keyfoo; 
 int is_keydown;
 char tmp; 
 int64 key_flags;
 int64 key_vk; 
 key_stroke   = _in_lParam_keystroke;
 wParam    = _in_wParam;
 nCode  = _in_nCode; 
if ( _in_nCode >= 0 )
 {
target = (cfg_HotKeyMicScancode >> 8 * 
  (cfg_HotKeyMicScancode_len - cfg_HotKeyMicScancode_len2));
LODWORD(key_vk)  = _in_lParam_keystroke->vkCode;
LODWORD(key_flags)  = _in_lParam_keystroke->flags;
is_keyfoo     = _in_lParam_keystroke->flags & 1;
is_keydown    = ~(key_flags >> 7) & 1;
[*] send_to_dbglog(
  0x1D,
  L"Mic target 0x%x scancode 0x%x flags 0x%x extra 0x%x vk 0x%x\n",
  target,
  _in_lParam_keystroke->scanCode,
  key_flags,
  _in_lParam_keystroke->dwExtraInfo,
  key_vk); 
conexant_handle_fn_keys(
  cfg_MicMuteScancodeSettings,
  is_keydown,
  key_stroke->scanCode,
  target,
  &cfg_HotKeyMicScancode_len,
  &cfg_HotKeyMicScancode_len2,
  1); 
if ( cfg_MicMuteScancodeSettings & 4 )
  conexant_handle_fn_keys(
 cfg_MicMuteScancodeSettings,
 is_keydown,
 key_stroke->scanCode,
 (cfg_HotKeyMicScancode2 >> 8 * 
  (cfg_HotKeyMicScancode2_len - cfg_HotKeyMicScancode2_len2)),
 &cfg_HotKeyMicScancode2_len,
 &cfg_HotKeyMicScancode2_len2,
 1); 
tmp = cfg_SpkMuteScancodeSettings; 
if ( cfg_SpkMuteScancodeSettings & 8 && is_keyfoo 
  || !(cfg_SpkMuteScancodeSettings & 8) )
{
  conexant_handle_fn_keys(
 cfg_SpkMuteScancodeSettings,
 is_keydown,
 key_stroke->scanCode,
 (cfg_HotKeySpkScancode >> 8 * 
  (cfg_HotKeySpkScancode_len - cfg_HotKeySpkScancode_len2)),
 &dword_1402709C8,
 &dword_1402709CC,
 0);
  tmp = cfg_SpkMuteScancodeSettings;
} 
if ( tmp & 4 && (tmp & 8 && is_keyfoo || !(tmp & 8)) )
  conexant_handle_fn_keys(
 tmp,
 is_keydown,
 key_stroke->scanCode,
 (cfg_HotKeySpkScancode2 >> 8 * 
  (cfg_HotKeySpkScancode2_len - cfg_HotKeySpkScancode2_len2)),
 &cfg_HotKeySpkScancode2_len,
 &cfg_HotKeySpkScancode2_len2,
 0);
 }
return CallNextHookEx(hhk, nCode, wParam, key_stroke);
}   

该漏洞被记录为“CVE - CVE-2017-8360”漏洞,已经影响了28款惠普笔记本电脑和平板电脑。

Modzero的安全专家推断其他厂商出产的电脑如果装有Conexant硬件或驱动程序,也可能存在类似风险。

以下为存在问题的电脑型号:

HP EliteBook 820 G3 Notebook PC HP EliteBook 828 G3 Notebook PC HP EliteBook 840 G3 Notebook PC HP EliteBook 848 G3 Notebook PC HP EliteBook 850 G3 Notebook PC HP ProBook 640 G2 Notebook PC HP ProBook 650 G2 Notebook PC HP ProBook 645 G2 Notebook PC HP ProBook 655 G2 Notebook PC HP ProBook 450 G3 Notebook PC HP ProBook 430 G3 Notebook PC HP ProBook 440 G3 Notebook PC HP ProBook 446 G3 Notebook PC HP ProBook 470 G3 Notebook PC HP ProBook 455 G3 Notebook PC HP EliteBook 725 G3 Notebook PC HP EliteBook 745 G3 Notebook PC HP EliteBook 755 G3 Notebook PC HP EliteBook 1030 G1 Notebook PC HP ZBook 15u G3 Mobile Workstation HP Elite x2 1012 G1 Tablet HP Elite x2 1012 G1 with Travel Keyboard HP Elite x2 1012 G1 Advanced Keyboard HP EliteBook Folio 1040 G3 Notebook PC HP ZBook 17 G3 Mobile Workstation HP ZBook 15 G3 Mobile Workstation HP ZBook Studio G3 Mobile Workstation HP EliteBook Folio G1 Notebook PC

惠普电脑用户可以检查电脑硬盘,如果发现下列文件之一,就表明击键记录已经被获取:

C:\Windows\System32\MicTray64.exe C:\Windows\System32\MicTray.exe

一旦发现以上可执行的文件,可将其删除或将文件重命名,以禁止MicTray驱动器继续读取击键记录。并且删除“用户-公共文档”中的MicTray.log日志文件夹。

北京智恒网安科技有限公司,被评为国家级高新技术企业、海淀区中关村高新技术企业、国家级软件企业认证、国际ISO9000认证企业,是国内专注于信息安全领域从事安全技术研究与开发、产品销售、系统集成、软件开发和专业安全服务于一体的综合性信息系统服务领军企业。

基于多年的信息安全技术研究,公司在运维审计(堡垒机)、桌面虚拟化、网站防篡改防攻击、下一代深度防御检测技术(APT防御技术)、基线安全检测等领域积累了丰富的实战经验,推出了国内具有影响力的WebGuard系列产品、SAS、VDesk、WebPecker等卓越产品,在全国范围内各领域包括政府、军工、电信运营商、能源、金融、医疗、教育、各企事业单位等几千家客户得到成功应用,获得广泛赞誉。公司最新研发的银河应用交付系统Galaxy ADC具有业界领先的性能和技术优势,是主流应用系统首选推荐的硬件负载均衡解决方案。


智恒科技

应用防护与审计专家

长按识别左边二维码关注我们



友情链接