幾週前，網絡安全公司Eclypsium的研究人員透露，幾乎所有大型硬件製造商都存在一個安全漏洞，允許惡意應用程序在用戶層級上獲得內核權限，從而實現對固件和硬件的直接訪問。研究人員對一系列硬件製造商和BIOS供應商展開了研究，涵蓋了東芝、華碩、華為、英特爾、英特爾等知名大廠。此外，該漏洞會影響Windows的所有版本，包括Windows 7 / 8 / 8.1 / 10 。

（圖自：LMNTRX Labs，via MSPU）

儘管微軟聲稱新版Windows Defender能夠應對該問題，但未透露用戶需要升級到最新的Windows操作系統版本，才能獲得這一益處。

對於舊版Windows操作系統的用戶來說，可利用虛擬機管理程序強制執行的代碼完整性（HVCI）的黑名單功能來提供一定程度上的防護。

遺憾的是，此功能僅適用於七代以後的英特爾處理器。如果您的CPU較舊、或者在新處理器上禁用了HVCI功能，則需要手動卸載驅動。

更糟糕的是，黑客已經設法對這個缺陷加以利用。儘管遠程訪問木馬（RAT）已經存在多年，但近期的發展卻讓它們變得比以往更加危險。

比如NanoCore RAT，就曾以25 美元的價格在暗網上被掛牌出售。然而2014 年的時候，NanoCore RAT 的免費破解版開始大肆流行開來。

此後，攻擊者為它添加了許多新的的插件，讓該工具變得更加複雜。最新消息是，LMNTRX 實驗室的研究人員發現，NanoCore RAT 又迎來了一項利用最新漏洞的新功能。

借助該工具，黑客可宣稱關閉或重啟系統、瀏覽文件，訪問和控制任務管理器、註冊表編輯器、還有鼠標。

以及打開網頁、禁用網絡攝像頭的活躍狀態指示燈，以便在不被注意的情況下監視受害者、並錄製音視頻。

由於攻擊者可以完全訪問計算機，他們還可以使用鍵盤記錄程序竊取密碼登陸憑據，以及使用類似勒索軟件的定制方案，加密受害者的計算機。

慶幸的是，NanoCore RAT 已存在多年，被安全研究人員廣為所知。LMNTRX 團隊將檢測技術分為三大類，分別是T1064（腳本）、T1060（註冊表運行鍵值/ 啟動文件夾）、以及T1193（Spearphishing 附件）。

● 腳本通常由系統管理員用於執行例行任務，因此任何異常執行的合法腳本程序（如PowerShell 或Wscript）都可被鑑別出可疑的行為。

● 監視註冊表以更改運行與已知軟件或修補程序無關的鍵值，以及留意啟動文件夾的添加或更改，亦有助於檢測惡意軟件。

● LMNTRIX 等網絡入侵檢測系統可過濾傳輸中惡意附加的釣魚內容，比如LMNTRIX Detect 就可根據行為（而不是簽名）來檢測惡意軟件。

綜上所述，對於企業組織和個人/ 家庭用戶來說，目前最佳的應對措施，就是將系統和軟件更新到最新版本（包括Windows 驅動程序、第三方軟件、甚至Windows Update）。

最重要的是，請勿下載或打開任何可疑電子郵件、或安裝任何未知供應商的第三方軟件。