之前做測試的Windows10主機版本是1903然后會自動更新最新版本22H2,復雜之眼EDR出現一處告警,分析了一下該告警是誤報。

通過訪問https://www.file.net/網站查詢可以看到wuauclt.exe,WindowsUpdateBox.exe,SetupHost.exe是Windows正常的更新程序.

SetupHost.exe會去對 AutodialDLL 注冊表值項進行修改重置,之前Windows更新沒有這個行為,可能是臨時加的。

Chatgpt搜索一下AutodialDLL持久化技術,有什么作用。

Google搜索一下網上公開的威脅情報報告可以看到威脅行為者使用了該技術。

猜測如果有正在使用該AutodialDLL持久化技術的威脅行為者,控制了Windows主機,Windows更新后權限會掉了,很可能是官方清馬操作。

Windows更新
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接