Everything 更新服务疑被劫持

@paradoxs 手动滑稽 ～ 其实微软也出了 Windows defender for macOS ，苹果也能安装。

看 IP 是对的，那只有对 IP 进行劫持了，能做到这个份上的只有运营商自己了吧，或者国家级别的攻击？ https 太重要了

“
基于以上所有分析，研究人员推测 AS4134 上的攻击者可能具有以下能力：
拦截所有的网络流量，这使它们能够接收到对随机 IP 地址的后门响应，而无需部署实际的 C2 服务器；
在网络中注入任意的 TCP 和 UDP 数据包，通过这种能力，他们可以向 WinDealer 发送订单；
完全控制 DNS ，这意味着他们可以为不存在的域提供响应；
”

谁才能拥有这个能力呢

楼主不会是啥高价值目标吧？重新拨号换个 IP 看看呢

它主要针对的是位于中国的目标，如外国驻华外交机构、学术界成员，或国防、物流和电信部门的公司

@SunsetShimmer 木马可以向任意域名甚至是不存在的域名通信，或者劫持某个 AS 内任意 IP ，攻击者劫持了 DNS 系统、骨干路由器、整个 AS ，就为了偷偷把用户目录的文件传出去，也不加密硬盘勒索点钱，真是良心

@swiftg 是可能的猜测。VirusTotal 报告里提到了一个真实存在的域名 icanhazip.com
暂不清楚用途。

@swiftg 访问这个会返回用户外网 IP

@SunsetShimmer windealer 的报告里也有这个域名，就是用来得到用户的公网 IP 的

@swiftg WHOIS 里面没什么有效信息
Registrar:CloudFlare, Inc.
Registered On:2009-07-31
Expires On:2024-07-31
Updated On:2022-06-03

软件 update 劫持，可能是常用的特定人群监控手段，只要确定该人群常用某 app/软件，如 http 就直接劫持，如 https 就当面要求开发商要求配合，不要问是怎么知道的

@SunsetShimmer 这应该只是一个合法正常的网站，木马只是用来获取被攻击者的公网 IP ，猜测方便在骨干路由中精准劫持。这种级别的攻击不会是广撒网大范围的，都是精准攻击高价值目标，所以楼主可能不是普通人？

我感觉这是 gov 做的测试 一般人没有权利动骨干网路由的

太恐怖了。😱

路由劫持。。。这有点牛

@zhengrt 分析到这就可以了，别继续分析下去了。

@zhengrt 细说

分享一下开发者给我的第三封邮件回复

✉️ David Carpenter <david@voidtools.com>
To: <redacted (v2ex @iBugOne)>
Re: voidtools - Contact form

Hi iBug,

Thanks for the update.

I have just pushed out an update that switched to HTTPS in the latest Everything 1.5a:
https://www.voidtools.com/forum/viewtopic.php?f=12&t=9787

This update will check both the latest available version and opening the download page with HTTPS.

I'll let users test this update and merge it with Everything 1.4.

Regards,
David