Hacker News 100 繁體中文

假冒 7-Zip 的 7zip.com 正在散播惡意軟體 （★ 120 分） Malwarebytes 指出，有人架設仿冒的 7-Zip 下載站 7zip.com，提供「看起來正常」但已被植入木馬的安裝程式：它一邊安裝可正常使用的 7-Zip 檔案管理器，一邊在背景把受害者電腦變成「住宅代理（residential proxy）」節點。案例來自 Reddit 的 r/pcmasterrace：一名組裝新 PC 的使用者照著 YouTube 教學影片操作，被引導到 7zip.com 下載（正牌只有 7-zip.org），先裝在筆電、再用 USB 帶到新桌機。安裝過程出現 32/64 位元錯誤後他改用 Windows 內建解壓縮工具，以為沒事；近兩週後才被 Windows Defender 以 Trojan:Win32/Malgent!MSR 類型警示抓到，顯示這類「網域差一點點」的誤導足以造成長時間、低察覺的入侵。 技術分析顯示，該安裝器使用已被撤銷、但曾有效的 Authenticode（Windows 程式碼簽章機制）憑證簽署來營造可信感，並把惡意元件丟進不易被注意的 C:WindowsSysWOW64hero 目錄：包含 Uphero.exe（服務與更新載入器）、hero.exe（主要代理負載，使用 Go（Golang 程式語言）編譯）、hero.dll。它們會被註冊成 Windows 服務（services），以 SYSTEM 權限開機自動啟動，並透過 netsh（Windows 網路設定工具）調整防火牆規則以放行連線與更新；同時利用 WMI（Windows Management Instrumentation，系統管理介面）與 Windows API 盤點硬體、記憶體、CPU、磁碟與網路等指紋，並向 iplogger.org 回報。其核心目的不是勒索或偷資料，而是「代理軟體（proxyware）」變現：hero.exe 會從輪替的 C2（command-and-control，指揮控制）網域取得組態，並在非標準埠（如 1000、1002）建立對外代理通道，通訊還用 XOR（互斥或）等方式混淆；整體基礎設施常透過 Cloudflare 轉送、以 TLS（Transport Layer Security）加密，甚至用 DoH（DNS-over-HTTPS，以 HTTPS 進行 DNS 查詢）降低傳統 DNS 監控的能見度，並具備虛擬機偵測、反除錯等反分析設計。研究者也觀察到同一套手法延伸到 upHola、upTiktok、upWhatsapp 等多個仿冒品牌前台，顯示背後是一個可替換入口、共用後端的長期營利網路。 防禦建議方面，文章強調：只要曾執行過來自 7zip.com 的安裝器，就應視為已被入侵，因為其常駐服務、放寬防火牆與 SYSTEM 權限持久化都屬高風險行為。Malwarebytes 表示可移除已知變種並逆轉其持久化機制；若屬高風險或高度敏感用途機器，有人仍會選擇重灌作業系統求安心。實務上應養成固定從官方網域下載並加入書籤、對不熟的簽章身分提高警覺、定期檢查陌生的 Windows 服務與防火牆規則、在網路邊界封鎖已知 C2 網域與端點；而這次能釐清其真正用途，也仰賴多位獨立研究者把它從「疑似後門」追到「住宅代理變現」的完整鏈條。 Hacker News 討論則把矛頭指向「信任的外溢」：不少人認為 YouTube 教學影片是意外的惡意散播管道，觀眾又習慣無腦按一下安裝與警示視窗，導致 UAC（User Account Control，使用者帳戶控制）或 SmartScreen（微軟下載/執行風險警示）再醒目也常被忽略；也有人補充，許多開源工具在 Windows 上未必都有程式碼簽章，使「用簽章判斷安全」在現實中不易。討論延伸到簽章憑證價格：有留言指出程式碼簽章憑證已漲到每年超過 500 美元，部分原因是 CA/B Forum（憑證機構與瀏覽器業界論壇）提高要求、把標準憑證門檻拉近 EV（Extended Validation，加強驗證）並要求金鑰放在硬體 Token 且每年重發，讓小型專案更難負擔；因此也有人提議是否能有由捐款資助、提供給非營利開源開發者的憑證機制。實務解法上，有人改用 winget（Windows Package Manager，Windows 套件管理器）或 Homebrew（macOS 套件管理器）來避免記網址，但也有人提醒 winget 的提交流程偏自動化，未必能保證每次更新都有人力審核；另有一派討論「一般人怎麼辨識官方站」：有人主張搜尋引擎與瀏覽器釣魚封鎖已能擋掉不少（但也有人發現 Firefox 對 7zip.com 與 www.7zip.com 的封鎖行為不一致，甚至 Ctrl+Enter 自動補 www 可能踩雷），也有人建議查 Wikipedia、看程式碼儲存庫連回的官方頁、或從軟體內的 About 資訊找來源，同時提醒 SEO 與廣告投放仍可能把惡意連結擠到前面。討論也順帶批評 7-Zip 作者長期對 ASLR（Address Space Layout Randomization，位址空間配置隨機化）、DEP（Data Execution Prevention，資料執行防護）等防護功能態度保守，並有人改用 NanaZip 等分支版本；更有人點出這次「重點其實是商業模式」：proxyware 追求安靜共存、吃頻寬與把你家 IP 出租給他人做爬蟲/詐騙/廣告濫用，因此更難被傳統端點防護用「破壞性行為」偵測，有人甚至呼籲作業系統應預設更嚴格的「對外連線防火牆」，但也有人反駁這可能重演 Vista 時代警示疲勞，讓使用者最後仍照樣全部放行。 👥 57 則討論、評論 💬 https://news.ycombinator.com/item?id=47014995

t.me · Telegram