老男孩 发表于 2018-5-4 17:14:13

Win10收集用户信息?抓包分析及应对策略来啦!



Win10作为微软推出的最新Windows系统,相对于Win7/8/8.1等版本加入了许多新功能,比如Cortana小娜、Windows Hello等,整体功能有所加强。然而,这些新功能的体验需要用户个人数据的支撑,收集的数据越全面,用户体验就越好。
事物都有两面性,在拥有好的体验的同时,数据的收集与泄露风险也将随之而来。微软官方曾发出隐私声明,声明中明确说明了会收集用户信息,可能包括姓名和联系人数据、凭据(如密码)、统计数据(如年龄、性别、所在国家地区)、付款信息、设备和使用情况信息、兴趣爱好、与联系人的关系(如Outlook.com管理联系人)、位置数据、通信内容(如Skpye传输的文件通信内容)。
本期,ISEC实验室的老师为我们带来Win10收集用户信息的抓包分析,以及不同应对措施下的分析比对和总结。
http://p1.qhimgs4.com/t0102765ded868e7584.gif
Win10收集用户信息抓包分析
Wireshark抓包分析
环境:上网机安装VMware workstations 12,然后创建Win10虚拟机(Win10企业版),Win10虚拟机上安装wireshark,设置Nat模式共享主机网络,选择好抓取网络(Ethernet0),启动wireshark进行长时间(1~2天)分多包抓取。命令行模式抓包,如下图:
http://p1.qhimgs4.com/t01c358a7d933c7ec77.webp
我们先选取没有中断的包分析(如时间段2017.10.18_16:23 ~ 2017.10.19_09:25),在wireshark统计一栏查看IP地址使用频率:
http://p1.qhimgs4.com/t0145379922c7f7e186.webp
然后连接的目的地址使用频率:
http://p2.qhimgs4.com/t015ad4702fe4133e98.webp
查询IP得知,连接地址主要是Microsoft公司和Akamai Tecknologies公司,后者是云服务提供商。通过wireshark过滤(ip过滤和dns过滤),条件为本地源地址和上述目的地址,如:ip.src==192.168.137.94 and ip.dst==23.45.232.42,如下图:
http://p2.qhimgs4.com/t01c5a1c30fa89128ab.webp
此连接(目的IP:23.45.232.42,微软布于Akamai网络的服务器IP,域名为:img-prod-cms-rt-microsoft-com.akamaized.net)有TCP传输,并且经过TLS1.2协议加密处理,这段时间系统间断性地向微软上传数据,并下载图片文件(如Microsoft Store或Inbox MSN Apps启动时)。
进一步分析18号9:00到14:05,即白天更新前的抓包数据,9:00抓包前特意注册了Microsoft账号,并用此账号登录计算机,然后激活了Cortana(小娜语音助手)应用。由于凌晨的更新重启,抓包中断,使得再次运行时虚拟机的本地IP有变动(本地IP:192.168.137.2)。
解析到微软服务器的IP为:157.55.109.226(域名为:storage.live.com),我们有针对性地过滤此IP,得到与本地IP的互动也是TLS1.2加密过的。
http://p2.qhimgs4.com/t01b755939171f3b01e.webp
传输中有如下记录:
http://p2.qhimgs4.com/t016700ec55d06552c0.webp
注册Microsoft账号与及激活小娜助手后,这边多出了与Windows.live web服务平台相关的内容,如msn、邮箱、电话、Skype登入Windows live。注册Microsoft账号并登入后,个人的账户信息以及其它连带的信息微软都能够收集到。
18号凌晨1点更新时做了什么?
能够解析到的IP只有两个:106.122.253.191及111.221.29.254,更新前服务器(如106.122.253.191)那边会收集用户信息(如系统信息):
http://p1.qhimgs4.com/t0124aec7a4f8ac49e2.webp
然后本机向au.b1.download.windowsupdate.com发出GET请求(如下图)以便获取操作系统补丁和更新包:
http://p0.qhimgs4.com/t01753b51c74b3c6bcc.webp
111.221.29.254对应域名:v10.vortex-win.data.microsoft.com,用于Connected User Experiences(互联用户体验)/Telemetry component(遥测组件)和连接到Microsoft Data Management service(微软数据管理服务),帮助微软找到和修复问题,提升产品和服务。
Fiddler抓包分析
Fiddler抓包的优点是可以抓取TLS包里的传输内容,并直观地查看。
此次Fiddler抓包时间段为:2017.10.18 18:20-2017.10.19 10:00。在此过程除了wireshark命令行同时抓包,不开启其它运用,不做任何其它操作,Windows的网络行为同样丰富,如本机向应用商城的自动请求、天气获取、更新桌面图片应用(如下图)、livetileedge活动贴片浏览应用相关网站GET请求、甚至Facebook访问。
桌面图片更新请求:
http://p0.qhimgs4.com/t01c78417bc06a0745d.webp
不做其他操作,同样能捕捉到系统的传输行为,重点的POST报文(上传动作)涉及的域名如:arc.msn.com、cn.bing.com、musicdelivery-ssl.xboxlive.com、m.hotmail.com、v10.vortex-win.data.microsoft.com。
向arc.msn.com上传数据:
http://p0.qhimgs4.com/t01241a9818239e7236.webp
POST内容解密后为:
http://p0.qhimgs4.com/t0197d4999d447e4853.webp
http://p2.qhimgs4.com/t0143b49b3fa7598922.webp
http://p1.qhimgs4.com/t01700fd0a72d6f1525.webp
这边涉及到很多内容和参数(如各种ID、国家、HTTPS=1、时间等),仅看后面着色部分可知,它至少上传了计算机参数,如X64代表系统是64位的、ENTERPRISE代表系统为企业版、然后是VMWARE VIRTUAL PLATFORM代表运行在VMware虚拟机平台上。
向musicdelivery-ssl.xboxlive.com上传音频:
http://p1.qhimgs4.com/t01dc6da0812e70641f.webp
http://p1.qhimgs4.com/t012a2e407caa630996.webp
有音频的ID,名称,类型,版本:
http://p0.qhimgs4.com/t016e9f4e41a6fdaee1.webp
上传数据到m.hotmail.com:
http://p0.qhimgs4.com/t01d1c74dfe6b45417b.webp
所谓的内容类型为应用同步,具体内容是加密的,但cookie中出现了默认的授权邮箱是24xxxxxx9@qq.com,这是用来注册Microsoft账户的邮箱,注册发生在fiddler抓包前两小时,上传内容包括Windows版本号,看服务器应答时间是2017.10.18 23:39:03,然后回复内容包含Outlook的相关内容,且又出现了qq邮箱,只要和Microsoft服务挂钩上的信息,微软就能用上了。
可见,Win10系统与微软的数据交互频繁,涉及用户的账户信息、设备系统信息等等,虽不能一一举证,正如其官方的隐私声明:只要涉及微软产品的各项服务的提升,就会收集用户的“必要”信息。可以初步证实Win10系统下,本测试开始提出的微软可能收集的具体用户信息都有可能被上传。
API Monitor 监测辅助分析
利用API Monitor跟踪网络连接时API调用,过滤条件及监测进程如下图:
http://p2.qhimgs4.com/t01982c2e9cb7a028e5.webp
这边微软用到了WinHttp这一系列API进行连接,经分析捕捉到的主要进程、域名信息如下图:
http://p2.qhimgs4.com/t01075f2394d3923310.webp
服务进程将主机名—DESKTOP-74UHBQJ作为DNS名进行询问
发送请求:
查看其中的xml内容发现开始内容为:
后边又出现了“apimonitor-x64、Process Monitor、Procmon.exe”字眼,Process Monitor应用是为监测进程手动开启,这边显然是受到Windows Defender的监测。
下面设备数据元检索发送的xml包含了语言国家地理等信息:
附:本次Wireshark/Fiddler抓包ip、域名、目的情况表
http://p1.qhimgs4.com/t011af3b59bdc79829b.webp
应对策略
利用ShutUp10关闭win10自动上传功能
利用ShutUp10(安全软件公司O&O专门针对win10开发的反监测工具)关闭相应功能或服务,如隐私(个人/APP相关)、安全、网页浏览相关(特别是Edge浏览)、windows设置同步、Cortana语音个人助手、地理位置服务、用户个人习惯、Windows更新、Windows资源管理器设置、Windows防御和微软局域网抓包、锁屏相关等,部分停用选项如下图:
http://p2.qhimgs4.com/t012a5684d6cfe50d73.webp
关闭前后对比如下:
http://p2.qhimgs4.com/t014e7658a75b0b4931.webp
http://p2.qhimgs4.com/t01f7c33db97808893b.webp
关闭相关功能后,抓包的量比之前少了很多,回连上传的IP地址或域名也相应减少。
在ShutUp10关闭自动上传功能的基础上,利用DWS_lite强力反监测
在DWS_lite(全称Destroy Windows Spying,GitHub上的开源程序,功能是破坏Windows 7/8/8.1/10 上的监测功能)程序操作的大多数部分是不可逆的,甚至系统还原也不能回退更改。比ShutUp10更为强力与彻底,选择摧毁之前要先设置摧毁选项,其主界面和小工具如下:
http://p1.qhimgs4.com/t015bbdc00ac9d11e80.webp
http://p0.qhimgs4.com/t0192d8fe5c3137933d.webp
设置后回到主界面点击Destroy Windows10 Spying框进行监测的删除,如下图:
http://p1.qhimgs4.com/t016d893a61bba5a227.webp
http://p2.qhimgs4.com/t01cb643c3c6a80fc9d.webp
成功后需要重启,以便禁用监测软件:
http://p1.qhimgs4.com/t01a20935ab0db8e2c5.webp
应用后的Fiddler及wireshark抓包情况如下:
http://p1.qhimgs4.com/t0126a9a610fead01bf.webp
Put方法上传到cs.dds.microsoft.com的更新数据有:设备信息(如可否更新、系统平台及其系列号(此处为VM)、系统类型、版本及版本号、所处地),用户信息(如此处列出了默认的浏览器为微软的Edge浏览器)。具体见下图:
http://p2.qhimgs4.com/t011ada6e7c95e2fa75.webp
Wireshark抓包:
http://p0.qhimgs4.com/t01fbc6b60502feb78e.webp
虽然在DWS_lite设置中勾选了删除相应应用的选项框,但是Film_TV、groove music、OneNote、Phone comanion(手机助手)、相册、Skype、solitaire collection(纸牌游戏)、地图、天气、Xbox、资讯等应用并没有删除,所有的应用都能正常使用,在一切没有改变的表象之下,抓包量与上传量明显比之前仅用ShutUp工具时要少。
利用DWS_lite完全删除Win10 metro应用
这次是在ShutUp10以及DWS_litew完全应用(即勾上了Win10 metro应用删除选项框)的终极情况,其中删除应用后的界面如下:
http://p2.qhimgs4.com/t0177dd15a9f9d3ad0a.webp
与没删之前(下图)的对比明显,但还是残留有Cortana(小娜语音助手)、微软商城、OneDrive等。
http://p2.qhimgs4.com/t0182a57893b4b14100.webp
抓包结果:
http://p0.qhimgs4.com/t01ff0c5a02c7752dc9.webp
根据需求,使用不同版本的Win10
Windows 10家庭版拥有Windows全部核心功能。系统将会自动安装任何安全补丁,不再向用户询问。
Windows 10专业版对比家庭版主要增加了一些安全类及办公类功能。
Windows 10企业版功能最全,是针对企业用户提供的版本,相比于家庭版本,企业版提供了专为企业用户设计的强大功能。新增了Long Term Servicing Branches的服务,可让企业拒绝功能性升级而只获得安全相关的升级。
Windows 10教育版最强大,专为大型学术机构设计的版本,具备企业版中的安全、管理及连接功能。除了更新选项方面的差异之外,与Windows企业版功能没有区别。
本测试仅对Win10企业版做了长时间的跟踪抓包与分析,按照官方声明,所受的服务越多,相应的用户体验更佳,收集的信息应该是会更多的,所以可以推测教育版与企业版收集的信息会更多。我们可以选择诸如Win10中国定制版、企业长期服务支持版等相对比较纯净或精简的版本。
Win10企业版64位2016长期服务版相对来说比之前的其他版本要纯净得多(如下面开机界面),没有了Cortana(小娜语音助手)、微软商城和各种Win10 metro应用,仅仅残留有OneDrive,为此我们可以利用ShutUp10和DWS_lite关闭或屏蔽OneDrive功能以及自动更新,使用第三方软件管理更新,上传的数据量也大大减少,好几天的抓包量是之前Win10企业版64位(10.0,版本15063)系统一天的抓包量,但仍然是会有不可免的信息上传。相比较而言使用此版本是较为放心与安全的。
http://p0.qhimgs4.com/t01890fc4c8521ef7d0.webp
注:Win10 LTSB(长期服务)版开机后界面
总结
Win10系统与微软的数据交互频繁,本测试能捕捉的上传证据涉及方位(国家城市,由天气应用上传可知)、用户的账户信息、设备系统信息、音频、安全证书授权相关信息、同步的用户所有的信息、网页浏览相关、用户设置、应用商城相关信息等等,虽不能一一举证,正如其官方模糊的隐私声明:只要涉及微软产品的各项服务的提升,就会收集用户“必要”信息。
在利用了ShutUp10和DWS_lite关闭或删除部分功能后,仍然残留有Cortana(小娜语音助手)、微软商城、OneDrive等,但Win10上传的动作显然大大减少,能够有效的阻止大部分Win10系统下微软对我们的监测,特别是最后测试删除了Win10 metro应用后效果最为明显,删除了metro应用就不能使用其相应的服务功能了(此步不可还原,根据需求操作),但是不影响我们正常的日常办公、开发工作。
需要注意的是Windows更新关闭后,Windows 漏洞或服务更新需要我们用第三方软件进行管理更新,此时也能得到及时全面的维护。所以,想要减少数据被上传就应减少Win10中不必要的应用与服务,可选择类似ShutUp10及DWS_lite反监测工具进行减少Win10与微软的数据交互,能大大减少数据的上传,但还不是很彻底,如残留的Cortana(小娜语音助手)、微软商城、OneDrive等。
针对不同目的,我们可以选择不同的版本,为减少监测可以选诸如Win10中国定制版、企业长期服务支持版等相对比较纯净或精简的版本,也可利用ShutUp10和DWS_lite关闭或删除部分功能以减少监测。
总之,对应的策略可最终归纳为以下两点:
● 利用系统功能关闭工具反监测,例如:ShutUp10和DWS_lite
● 使用Windows 10 纯净或精简版,如:Win10企业 LTSB(企业长期服务)版、Win10中国定制版。
页: [1]
查看完整版本: Win10收集用户信息?抓包分析及应对策略来啦!

请大家牢记南瓜园网址 www.nan2008.com