Wie kann ein Webbrowser Strg-Alt-Del abfangen?

543
Mark

Ich erhielt einen Support-Anruf von jemandem, der mit Chrome im Internet surfte, und eine Popup-Meldung, dass der Computer von einem Virus infiziert wurde. Es war ein ziemlich normaler "Angst, dass Sie uns Ihre Kreditkartennummer geben", und der Browser war gesperrt, so dass der Benutzer nichts tun konnte, es nicht beenden konnte. Normalerweise würde ich den Benutzer durch den Einsatz gehen Ctrl- Alt- Delden Browser zu töten, dann neu starten, ohne geöffneten Tabs, aber dieses Mal gelang es der Popup - Code, der aus als auch zu sperren.

Die Idee hinter dieser Schlüsselsequenz bestand jedoch darin, dass sie nicht von Programmen auf Benutzerebene (z. B. einem Webbrowser) abgefangen werden kann. Wie kam es zu diesem Betrug?

2
Es ist nicht möglich, CTRL-ALT-DEL zu blockieren, aber es kann geändert werden, was auf dem sicheren Desktop angeboten wird. STRG-ALT-Escape hätte den Task-Manager angezeigt. Die betreffende Kernel-Kombination kann nicht blockiert werden. Ramhound vor 7 Jahren 1
Klingt, als wäre der Computer aus anderen Gründen eingesperrt. Appleoddity vor 7 Jahren 2
Welche Schritte haben Sie unternommen, um zu bestätigen, dass die CAD-Sequenz gesperrt wurde? Twisty Impersonator vor 7 Jahren 0

1 Antwort auf die Frage

4
Twisty Impersonator

Es kann nicht. *

Die Ctrl+ Alt+ Del-Sequenz (auch als Secure Attention Sequence bekannt) kann nur vom Windows-Kernel "gehört" werden. Zum Deaktivieren oder anderweitigen Ändern der Reaktion von Windows auf SAS sind daher Berechtigungen auf Kernelebene erforderlich, deren Code nicht im Browser ausgeführt wird.

Hier sind einige andere mögliche Erklärungen (dh Vermutungen), was passiert ist:

  • Der Benutzer hat das falsch verstanden und nicht die richtige Tastenkombination gedrückt

  • Der Computer wurde fest gesperrt und konnte keine Anweisungen verarbeiten. In der Zukunft können Sie dies testen, indem Sie Folgendes tun (in der Reihenfolge der Zuverlässigkeit):

    • Tippen Sie auf die Num-Taste und beobachten Sie, ob die Kontrollleuchte auf der Tastatur ein- und ausgeschaltet wird. Dies ist auf einem gesperrten PC nicht der Fall.

    • Pingen Sie den Computer an. Eine gesperrte Maschine kann keine ICMP-Antwort generieren (Ausnahme: ein System mit NIC-Offloading-Funktionen).

    • Trennen Sie ein USB-Gerät und schließen Sie es erneut an, und warten Sie auf die entsprechende Audio-Benachrichtigung, dass eine solche Aktion ausgeführt wurde.

  • Auf der Webseite wurde Code ausgeführt, durch den die CPU maximal ausgelastet war. Das System reagierte langsam. Wiederholte Versuche mit der SAS-Sequenz sollten dennoch funktionieren. Außerdem sollte der Browser die Bedingung erkennen und anbieten, das Skript zu beenden.

Fazit: Benutzermoduscode (der Browser und Code, der von Webseiten ausgeführt wird) kann das Verhalten der Systemantwort auf die Secure Attention Sequence nicht ändern.


* Ich schließe die Möglichkeit eines Kernel-Exploits in dieser Antwort aus.