攝影機被駭 shodan.io

1.以 net:[單位 IP 範圍] product:"dlink"來搜尋即可取得在範圍內，為 FUJI

for example:
  shodan.io
  net: xxx.xxx.xxx.xxx/24  product: "dlink"



1.bot live map(殭屍病毒;bot ware)

https://www.malwaretech.com

2.攝影機被駭

www.insecam,org

https://www.insecam.org/en/bycountry/TW/

3.search  dehault password 預設密碼

    shodan.io

HP電腦內藏鍵盤側錄程式

Ref: http://www.ithome.com.tw/news/114136

筆電再現隱私威脅！安全研究Modzero發現HP電腦的音效卡內藏鍵盤側錄程式，可錄下用戶所有按鍵動作，導致密碼等機密資訊遭竊取。

問題出在HP電腦中由美國IC設計業者科勝訊（Conexant）所生產的音效晶片驅動程式。驅動程式內含的可執行檔MicTray64.exe原本的功能是在用戶執行特定按鍵動作，例如啟動、關閉麥克風及錄音時做出回應。這個程式可能是專為HP電腦特製。
出問題的驅動程式為1.0.0.31，到了最近的1.0.0.46則將所有按鍵動作都寫入所有人都可存取的C:\Users\Public\MicTray.log中。研究人員指出，雖然該檔案在每次重開機都會被覆寫掉

研究人員並呼籲所有HP電腦用戶都應立即檢查電腦中是否安裝了C:\Windows\System32\MicTray64.exe 或C:\Windows\System32\MicTray.exe，如果有的話應立刻刪除或重新命名，讓它無法再錄下鍵盤動作，但是這麼做也會損壞特定鍵盤動作的音效。如果硬碟中有C:\Users\Public\MicTray.log

安全廠商列出受影響的HP機種，包括HP EliteBook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。

Windows 登入畫面隱藏其他使用者帳號

Windows 7

Ref: https://chenweichi.blogspot.tw/2012/05/windows.html

Ref: http://tony-it59bi.blogspot.tw/2012/09/windows.html

windows 7  10

Ref: https://kknews.cc/zh-tw/tech/2mv9qr.html
************************************************************************************
STEP1:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList】
請在【UserList】上按滑鼠右鍵選【新增】新增【DWORD (32-位元)值】

註：若系統為32位元系統 (X86)時，該值名稱為【DWORD 值】
若系統為64位元系統 (X64)時，該值名稱為【DWORD (32-位元)值】


STEP2:
新增的【DWORD (32-位元)值】，內容名稱請鍵入您要隱藏的帳號名稱，依此類推。

***************************************************************
把系統管理員隱藏了只剩標準使用者安全模式也沒有Admin怎麼辦？
回覆:有開遠端桌面嗎?如果有的話可以利用遠端桌面登入修改
******************************************************************
Ref:
http://www.techbang.com/posts/6131-windows-7-a-ji-account-does-not-stick-it-to-you

就可以讓登入畫面改走復古風格，得手動輸入帳號名稱與密碼才能進行登入，可以降低被偷登入的可能性。

從「本機安全性原則」修改

依序進入控制台＞ 系統管理工具＞ 本機安全性原則＞ 本機原則＞ 安全性選項，找出並點選「互動式登入：不要顯示上次登入的使用者名稱」，將設定值調整為「啟用」即可。

從登錄檔修改

Step 1

滑鼠點選「開始」內的「執行」， 或直接按鍵盤「視窗」加「R」組合按鍵，在執行視窗內的開啟文字框入輸入「regedit」。

Step 2

登錄檔編輯程式開啟後，在左邊目錄內，依序進入到這個位置：HKEY_ LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

Step 3

找出並用滑鼠點選右欄內名稱為「DontDisplayLastName」的項目， 將「數值資料」由「0 」修改為「1」，即大功告成。

政府組態基準(GCB)

https://www.nccst.nat.gov.tw/GCB?lang=zh

【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689)，允許攻擊者遠端獲取系統的控制權限

http://www8.hp.com/us/en/intelmanageabilityissue.html

(ANA事件單通知:TACERT-ANA-2017050509054848)(【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689)，允許攻擊者遠端獲取系統的控制權限)

教育機構ANA通報平台

發佈編號

TACERT-ANA-2017050509054848

發佈時間

2017-05-05 09:07:52

事故類型

ANA-漏洞預警

發現時間

2017-05-02 00:00:00

影響等級

中

                               

[主旨說明:]【漏洞預警】特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689)，允許攻擊者遠端獲取系統的控制權限

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201705-0006

英特爾(Intel)主動管理技術(Active Management Technology，AMT)是內嵌於英特爾vPro 架構平台的一項管理功能，獨立於作業系統外運行，即使主機已經關閉，只要主機仍與電源線和網絡相連，遠端管理人員仍可以存取Intel AMT。而服務管理器(Intel Standard Manageability，ISM)則具有遠端關機、開機、重新開機及監視運行的應用程式等，至於小型企業技術(Small Business Technology，SBT)，則具有本機端的軟體監控器、資料備份和復原及省電功能等。

研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞(CVE-2017-5689)，目前已知攻擊者可在未授權的情況下透過AMT管理技術遠端或本地端獲取系統控制權限，像是開機、關機、讀取文件、檢查正執行的程序、追蹤鍵盤/滑鼠及螢幕晝面等。

此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發

[影響平台:]

First-gen Core family: < 6.2.61.3535個系列版本

Second-gen Core family: < 7.1.91.3272個系列版本

Third-gen Core family: < 8.1.71.3608個系列版本

Fourth-gen Core family: < 9.1.41.3024個系列版本

Fourth-gen Core family: < 9.5.61.3012個系列版本

Fifth-gen Core family: < 10.0.55.3000個系列版本

Sixth-gen Core family: < 11.0.25.3001個系列版本

Seventh-gen Core family: < 11.6.27.3264個系列版本

[建議措施:]

1. 目前Intel官方已針對此弱點釋出修復韌體，請參考Intel官方網頁(https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr)，或洽詢合作之OEM <https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr)，或洽詢合作之OEM> 廠商更新至相對應的韌體版本，詳細修復韌體版本如下：

(1)First-gen Core family: >= 6.2.61.3535的版本

(2)Second-gen Core family: >= 7.1.91.3272的版本

(3)Third-gen Core family: >= 8.1.71.3608的版本

(4)Fourth-gen Core family: >= 9.1.41.3024的版本

(5)Fourth-gen Core family: >= 9.5.61.3012的版本

(6)Fifth-gen Core family: >= 10.0.55.3000的版本

(7)Sixth-gen Core family: >= 11.0.25.3001的版本

(8)Seventh-gen Core family: >= 11.6.27.3264的版本

2. Intel官方網頁(https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20Guide-Rev%201.0.pdf)釋出之檢測韌體版本方法，詳細檢測步驟如下 <https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20Guide-Rev%201.0.pdf)釋出之檢測韌體版本方法，詳細檢測步驟如下> ：

(1)下載Intel® SCS System Discovery Utility工具(https://downloadcenter.intel.com/download/26691/Intel-SCS-System-DiscoveryUtility)

(2)以系統管理員啟動cmd視窗

(3)鍵入SCSDiscovery.exe SystemDiscovery  /noregistry產生一份XML檔，並檢視該份文件中的FWVersion值，確認是否為上述受影響之韌體版本

3.Intel官方網頁(https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%20Guide-Rev%201.1.pdf)釋出之關閉AMT <https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%20Guide-Rev%201.1.pdf)釋出之關閉AMT> 、ISM及SBT方法，詳細關閉步驟如下：

(1)以系統管理員權限啟動cmd視窗

(2)鍵入sc config LMS start= disabled(注意disabled前有一空格)

[參考資料:]

1. http://www.ithome.com.tw/news/113815

2. https://www.bleepingcomputer.com/news/hardware/intel-fixes-9-year-old-cpu-flaw-that-allows-remote-code-execution/

3. https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/