Tìm kiếm Google chỉ bị tấn công khi không được quan sát. Đính kèm trình gỡ lỗi trả về kết quả bình thường

Tôi không thể tìm ra cái này Tôi nhận thấy kết quả tìm kiếm của tôi hơi "khác" vào cuối.

• Tôi không đăng nhập khi thực hiện tìm kiếm trên google, nhưng nếu tôi nhấp vào "Hình ảnh" hoặc "Video" thì tôi được hiển thị là đã đăng nhập.
• Không có thông tin wikipedia trong thanh bên của trang tìm kiếm.
• Nếu tôi tắt Ghostery và uBlock, nhiều kết quả là quảng cáo.

Tôi quyết định kiểm tra các công cụ dành cho nhà phát triển và nhận thấy có một SyntaxError trong trang, tôi đã nhấp vào nó và nó thực sự dẫn đến một chức năng javascript thay thế địa chỉ web google.

Vấn đề dường như chỉ xảy ra trong Chrome, đây là vấn đề song song với firefox:

Tôi đã cố gắng đính kèm Trình gỡ lỗi web Fiddler để nắm bắt lưu lượng truy cập để tôi có thể thấy nơi tôi đang chuyển hướng đến. Nhưng ngay sau khi tôi đính kèm trình gỡ lỗi web, tất cả sẽ biến mất và tôi được phục vụ trang tìm kiếm thực tế .... Nguồn trang khi Fiddler đang chụp là hoàn toàn khác nhau.

Dưới đây là một gifv chụp màn hình hiển thị nó. Nó bắt đầu với trang bị tấn công và tôi khoanh tròn con trỏ của mình xung quanh một số tệp nguồn javascript bổ sung sơ sài. Sau đó tôi nói với Fiddler để nắm bắt lưu lượng truy cập và làm mới kết quả tìm kiếm của tôi. Trang tôi đang phục vụ hoàn toàn khác nhau. Cuối cùng, tôi vô hiệu hóa lưu lượng truy cập một lần nữa và làm mới trang để hiển thị trang bị tấn công và đưa bạn đến chức năng với lỗi cú pháp được cho là thay thế địa chỉ web.

http://i.imgur.com/gbWkkLp.gifv

Tôi đã chạy Malwarebytes và không có kết quả. Spybot đã đưa ra một vài lượt truy cập nhưng loại bỏ chúng không khắc phục được vấn đề. Tôi cũng đã thiết lập lại hoàn toàn chrome bằng công cụ được cung cấp bởi Google. Nếu tôi sử dụng một hồ sơ web khác, chẳng hạn như hồ sơ tôi lập hóa đơn, tôi không nhận được kết quả tìm kiếm. Nếu tôi kích hoạt fiddler, đột nhiên tôi nhận được kết quả.

Một số phần mềm độc hại có thể đã mạo danh Fiddler , như nhà phát triển ban đầu của Fiddler, Eric Lawrence , đã chỉ ra:

Nhiều phần mềm độc hại khác nhau kiểm tra xem Fiddler có đang được sử dụng hay không và nếu vậy, họ sẽ ngừng thực hiện các hoạt động độc hại của mình để cố gắng che giấu hành động của mình.

^{_{( nguồn )}}

Fiddler là một công cụ gỡ lỗi web. Nó không có hành vi độc hại nào, và nó không bao giờ được cài đặt trừ khi bạn đích thân cài đặt nó bằng trình cài đặt được tải xuống từ Telerik. Kịch bản được mô tả ở đây là một phần mềm độc hại đang cố gắng tránh bị phát hiện bằng cách làm cho nó trông giống như Fiddler.

^{_{( nguồn )}}

Hành vi

Dấu hiệu rõ ràng nhất của phần mềm độc hại là Google Chrome không tải các trang web HTTPS như dự định trừ khi bạn đang sử dụng Fiddler để nắm bắt lưu lượng truy cập. Fiddler không được thiết kế để can thiệp vào trình duyệt web thông thường của bạn khi nó không được sử dụng.

Để phần mềm độc hại tự ẩn, nó cần chiếm quyền điều khiển proxy Fiddler và từ bỏ lưu lượng HTTPS bằng khóa riêng của chứng chỉ Fiddler. Việc thay đổi cài đặt proxy là chuyện nhỏ và có thể lấy bản sao khóa riêng của cài đặt Fiddler của bạn .

Chứng chỉ gốc

Bạn đã yêu cầu Fiddler cài đặt chứng chỉ gốc trên máy tính của mình, cho phép nó tự chèn vào dưới dạng một người trung gian (MitM) để theo dõi nội dung dữ liệu được gửi qua HTTPS:

Ngược lại, đây là cách https://www.google.com/ thường được tin cậy:

Máy tính của bạn tin tưởng DO_NOT_TRUST_FiddlerRootchứng chỉ vì nó đã được cài đặt vào kho ủy thác chứng chỉ của hệ điều hành của bạn.

Proxy để chặn HTTPS

Bạn đã chỉ ra rằng HTTPS hoạt động đúng trên Mozilla Firefox, có thể được cấu hình để sử dụng các quy tắc proxy độc lập của riêng nó thay vì quy tắc proxy của hệ điều hành. Google Chrome sử dụng proxy hệ điều hành mà không có tùy chọn dễ dàng để làm khác.

Đi qua proxy cấp hệ điều hành của Fiddler, giờ đây Fiddler có thể là MitM để thu thập dữ liệu HTTPS không được mã hóa trong khi vẫn phục vụ trang web. Fiddler tìm nạp một số trang web, sau đó ký tên là "www.google.com" bằng chứng chỉ được tin cậy trước đó , DO_NOT_TRUST_FiddlerRoot.

Trong các trường hợp này, phần mềm độc hại có thể chiếm cả proxy và chứng chỉ để cung cấp cho bạn trang web sai trong khi vẫn hiển thị cho bạn . Tôi có thể thấy điều này dẫn đến các cuộc tấn công lừa đảo công phu.

Quan ngại về an ninh

^{_{Liên quan đến trao đổi ngăn xếp bảo mật: Những rủi ro bảo mật nào được đặt ra bởi các nhà cung cấp phần mềm triển khai proxy chặn chặn SSL trên máy tính để bàn của người dùng}}

Như Eric Lawrence đã từng viết ,

Khả năng đánh chặn HTTPS của Fiddler (đúng) làm tăng sự chú ý giữa những người dùng có ý thức bảo mật.

Đó là lý do tại sao Fiddler cảnh báo về ý nghĩa bảo mật của việc chặn lưu lượng HTTPS:

Do lỗi người dùng hoặc cài đặt phần mềm độc hại, Fiddler đã liên quan đến nhiều vấn đề khác nhau:

• Fiddler hiển thị đường hầm đến IP không xác định
• đã tìm thấy một loạt các chứng chỉ cá nhân DO_NOT_TRUST_FiddlerRoot được cài đặt trên hệ thống của tôi
• Tôi không biết làm thế nào, nhưng tôi có Fiddler trên máy tính của mình (Tôi không chấp nhận bất kỳ cài đặt nào)
• Thông báo chứng chỉ Thunderbird tiếp tục bật lên
• Cài đặt Proxy của PC bị ghi đè

Mặc dù bản thân Fiddler không phải là một chương trình có hại, nhưng sự lạm dụng và hiểu lầm của nó đã dẫn đến tiếng xấu và virus giả vờ là Fiddler .

Gỡ bỏ

Tôi không biết liệu máy tính của bạn có bị xâm nhập bởi một tên không tặc Fiddler hay không, nhưng bạn cho biết rằng bạn không có thời gian để lau máy tính và cài đặt lại, vì vậy, hy vọng các bước sau đây có thể thoát khỏi Fiddler và khôi phục hành vi web an toàn thích hợp. (Tôi vẫn sẽ khuyên bạn nên cài đặt lại và thay đổi mật khẩu của mình sau đó, đặc biệt nếu bạn nghiêm túc về bảo mật. Bạn đã viết rằng Spybot - Tìm kiếm & Tiêu diệt tìm thấy một số phần mềm độc hại.)

Lời nói đầu: Hủy cấu hình Fiddler

Người đăng ban đầu đã phát hiện ra các bước bổ sung này để giải quyết vấn đề của mình với Fiddler:

Cuối cùng, cái đã được sửa là: Cài đặt -> Hiển thị cài đặt nâng cao -> Trong mạng -> Thay đổi Cài đặt proxy -> Nâng cao -> Đặt lại

và

Ngoài ra trong Cài đặt Fiddler, tôi đã tắt các tùy chọn cho phép nó giải mã lưu lượng HTTPS trước khi gỡ cài đặt và xóa lại chứng chỉ.

Xóa (các) chứng chỉ gốc của Fiddler

1. nhấn Win +r
2. Mở: certmgr.msc
3. Xem qua tất cả các thư mục và loại bỏ DO_NOT_TRUST_FiddlerRoot chứng chỉ.

Gỡ cài đặt Fiddler

1. Chuyển đến Bảng điều khiển »Chương trình» Chương trình và Tính năng.
2. Gỡ cài đặt Fiddler. Một nguồn tin nói rằng Fiddler có thể được gọi là "FiddlerRoot" hoặc "BrowserSafeguard".

Xóa cài đặt proxy

Giả sử bình thường bạn không sử dụng proxy proxy khác

1. Chuyển đến Bảng điều khiển »Tùy chọn Internet.
2. Trong Thuộc tính Internet, chuyển đến tab "Kết nối".
3. Trong "Cài đặt mạng cục bộ (LAN)", nhấp vào "Cài đặt mạng LAN".
4. Xóa và bỏ chọn cài đặt proxy của bạn như vậy:

Loại bỏ phần mềm độc hại

Như đã đề xuất trước đây trên Super User , bạn nên cố gắng tìm và xóa phần mềm độc hại ban đầu hiển thị các trang web HTTPS đã sửa đổi.

Lời khuyên chi tiết:
Làm cách nào tôi có thể loại bỏ phần mềm gián điệp độc hại, phần mềm độc hại, phần mềm quảng cáo, vi rút, trojan hoặc rootkit khỏi PC của tôi?