Tìm kiếm Google chỉ bị tấn công khi không được quan sát. Đính kèm trình gỡ lỗi trả về kết quả bình thường


12

Tôi không thể tìm ra cái này Tôi nhận thấy kết quả tìm kiếm của tôi hơi "khác" vào cuối.

  • Tôi không đăng nhập khi thực hiện tìm kiếm trên google, nhưng nếu tôi nhấp vào "Hình ảnh" hoặc "Video" thì tôi được hiển thị là đã đăng nhập.
  • Không có thông tin wikipedia trong thanh bên của trang tìm kiếm.
  • Nếu tôi tắt Ghostery và uBlock, nhiều kết quả là quảng cáo.

Tôi quyết định kiểm tra các công cụ dành cho nhà phát triển và nhận thấy có một SyntaxError trong trang, tôi đã nhấp vào nó và nó thực sự dẫn đến một chức năng javascript thay thế địa chỉ web google.

Vấn đề dường như chỉ xảy ra trong Chrome, đây là vấn đề song song với firefox: http://i.imgur.com/7J1G9mR.png

Tôi đã cố gắng đính kèm Trình gỡ lỗi web Fiddler để nắm bắt lưu lượng truy cập để tôi có thể thấy nơi tôi đang chuyển hướng đến. Nhưng ngay sau khi tôi đính kèm trình gỡ lỗi web, tất cả sẽ biến mất và tôi được phục vụ trang tìm kiếm thực tế .... Nguồn trang khi Fiddler đang chụp là hoàn toàn khác nhau.

Dưới đây là một gifv chụp màn hình hiển thị nó. Nó bắt đầu với trang bị tấn công và tôi khoanh tròn con trỏ của mình xung quanh một số tệp nguồn javascript bổ sung sơ sài. Sau đó tôi nói với Fiddler để nắm bắt lưu lượng truy cập và làm mới kết quả tìm kiếm của tôi. Trang tôi đang phục vụ hoàn toàn khác nhau. Cuối cùng, tôi vô hiệu hóa lưu lượng truy cập một lần nữa và làm mới trang để hiển thị trang bị tấn công và đưa bạn đến chức năng với lỗi cú pháp được cho là thay thế địa chỉ web.

http://i.imgur.com/gbWkkLp.gifv

Tôi đã chạy Malwarebytes và không có kết quả. Spybot đã đưa ra một vài lượt truy cập nhưng loại bỏ chúng không khắc phục được vấn đề. Tôi cũng đã thiết lập lại hoàn toàn chrome bằng công cụ được cung cấp bởi Google. Nếu tôi sử dụng một hồ sơ web khác, chẳng hạn như hồ sơ tôi lập hóa đơn, tôi không nhận được kết quả tìm kiếm. Nếu tôi kích hoạt fiddler, đột nhiên tôi nhận được kết quả. nhập mô tả hình ảnh ở đây


2
Google sử dụng HTTPS để phục vụ bạn kết quả. Kiểm tra chứng chỉ trang web của họ và đảm bảo rằng nó được ký bởi Google Internet Agency G2 . Nếu không, ai đó đã thêm chứng chỉ gốc mới vào máy tính của bạn và chiếm quyền điều khiển lưu lượng truy cập của bạn.
Deltik

Bạn có thể vào một cái gì đó ở đây. Nó được ký bởi "DO_NOT_TRUST_FiddlerRoot", do đó, nó có thể không phải là một sự trùng hợp ngẫu nhiên mà nó hoạt động khi fiddler đang nắm bắt lưu lượng. i.imgur.com/b61IkYc.png Tôi đã xóa tất cả Chứng chỉ Fiddler bằng certmgr.cfg. Được fiddler nhắm mục tiêu? Kể từ khi xóa FiddlerRoot, tôi không thể truy cập google.com
Derek Ziemba

1
Có vẻ như Fiddler đã được liên kết với phần mềm quảng cáo HTTPS trong quá khứ, ngay tại đây trên Super User . Bạn có thể muốn thoát khỏi Fiddler. Có thể thay đổi mật khẩu của bạn, một khi bạn đang ở trên máy tính an toàn.
Deltik

Sau khi khởi động lại, tôi có thể truy cập lại Google và chứng chỉ được ký bởi "Google Internet Author G2", nhưng chỉ khi tôi đặt Fiddler thành Capture Traffic. Khi fiddler không được chụp hoặc gỡ cài đặt, Google sẽ quay lại sử dụng chứng chỉ không hợp lệ. Tôi không có thời gian để cài đặt lại mọi thứ ...
Derek Ziemba

Nhiều phần mềm độc hại khác nhau kiểm tra xem Fiddler có đang được sử dụng hay không và nếu vậy, họ sẽ ngừng thực hiện các hoạt động độc hại của mình để cố gắng che giấu hành động của mình.
EricLaw

Câu trả lời:


8

Một số phần mềm độc hại có thể đã mạo danh Fiddler , như nhà phát triển ban đầu của Fiddler, Eric Lawrence , đã chỉ ra:

Nhiều phần mềm độc hại khác nhau kiểm tra xem Fiddler có đang được sử dụng hay không và nếu vậy, họ sẽ ngừng thực hiện các hoạt động độc hại của mình để cố gắng che giấu hành động của mình.

( nguồn )

Fiddler là một công cụ gỡ lỗi web. Nó không có hành vi độc hại nào, và nó không bao giờ được cài đặt trừ khi bạn đích thân cài đặt nó bằng trình cài đặt được tải xuống từ Telerik. Kịch bản được mô tả ở đây là một phần mềm độc hại đang cố gắng tránh bị phát hiện bằng cách làm cho nó trông giống như Fiddler.

( nguồn )


Hành vi

Dấu hiệu rõ ràng nhất của phần mềm độc hại là Google Chrome không tải các trang web HTTPS như dự định trừ khi bạn đang sử dụng Fiddler để nắm bắt lưu lượng truy cập. Fiddler không được thiết kế để can thiệp vào trình duyệt web thông thường của bạn khi nó không được sử dụng.

Để phần mềm độc hại tự ẩn, nó cần chiếm quyền điều khiển proxy Fiddler và từ bỏ lưu lượng HTTPS bằng khóa riêng của chứng chỉ Fiddler. Việc thay đổi cài đặt proxy là chuyện nhỏ và có thể lấy bản sao khóa riêng của cài đặt Fiddler của bạn .

Chứng chỉ gốc

Bạn đã yêu cầu Fiddler cài đặt chứng chỉ gốc trên máy tính của mình, cho phép nó tự chèn vào dưới dạng một người trung gian (MitM) để theo dõi nội dung dữ liệu được gửi qua HTTPS:

Ảnh chụp màn hình từ /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Ngược lại, đây là cách https://www.google.com/ thường được tin cậy:

Ảnh chụp màn hình của chuỗi bảo mật Google HTTPS thích hợp

Máy tính của bạn tin tưởng DO_NOT_TRUST_FiddlerRootchứng chỉ vì nó đã được cài đặt vào kho ủy thác chứng chỉ của hệ điều hành của bạn.

Proxy để chặn HTTPS

Bạn đã chỉ ra rằng HTTPS hoạt động đúng trên Mozilla Firefox, có thể được cấu hình để sử dụng các quy tắc proxy độc lập của riêng nó thay vì quy tắc proxy của hệ điều hành. Google Chrome sử dụng proxy hệ điều hành mà không có tùy chọn dễ dàng để làm khác.

Đi qua proxy cấp hệ điều hành của Fiddler, giờ đây Fiddler có thể là MitM để thu thập dữ liệu HTTPS không được mã hóa trong khi vẫn phục vụ trang web. Fiddler tìm nạp một số trang web, sau đó ký tên là "www.google.com" bằng chứng chỉ được tin cậy trước đó , DO_NOT_TRUST_FiddlerRoot.

Trong các trường hợp này, phần mềm độc hại có thể chiếm cả proxy và chứng chỉ để cung cấp cho bạn trang web sai trong khi vẫn hiển thị cho bạn biểu tượng khóa màu xanh lá cây. Tôi có thể thấy điều này dẫn đến các cuộc tấn công lừa đảo công phu.

Quan ngại về an ninh

Liên quan đến trao đổi ngăn xếp bảo mật: Những rủi ro bảo mật nào được đặt ra bởi các nhà cung cấp phần mềm triển khai proxy chặn chặn SSL trên máy tính để bàn của người dùng

Như Eric Lawrence đã từng viết ,

Khả năng đánh chặn HTTPS của Fiddler (đúng) làm tăng sự chú ý giữa những người dùng có ý thức bảo mật.

Đó là lý do tại sao Fiddler cảnh báo về ý nghĩa bảo mật của việc chặn lưu lượng HTTPS:

Ảnh chụp màn hình của cảnh báo tích hợp Fiddler

Do lỗi người dùng hoặc cài đặt phần mềm độc hại, Fiddler đã liên quan đến nhiều vấn đề khác nhau:

Mặc dù bản thân Fiddler không phải là một chương trình có hại, nhưng sự lạm dụng và hiểu lầm của nó đã dẫn đến tiếng xấuvirus giả vờ là Fiddler .


Gỡ bỏ

Tôi không biết liệu máy tính của bạn có bị xâm nhập bởi một tên không tặc Fiddler hay không, nhưng bạn cho biết rằng bạn không có thời gian để lau máy tính và cài đặt lại, vì vậy, hy vọng các bước sau đây có thể thoát khỏi Fiddler và khôi phục hành vi web an toàn thích hợp. (Tôi vẫn sẽ khuyên bạn nên cài đặt lại và thay đổi mật khẩu của mình sau đó, đặc biệt nếu bạn nghiêm túc về bảo mật. Bạn đã viết rằng Spybot - Tìm kiếm & Tiêu diệt tìm thấy một số phần mềm độc hại.)

Lời nói đầu: Hủy cấu hình Fiddler

Người đăng ban đầu đã phát hiện ra các bước bổ sung này để giải quyết vấn đề của mình với Fiddler:

Cuối cùng, cái đã được sửa là: Cài đặt -> Hiển thị cài đặt nâng cao -> Trong mạng -> Thay đổi Cài đặt proxy -> Nâng cao -> Đặt lại

Ngoài ra trong Cài đặt Fiddler, tôi đã tắt các tùy chọn cho phép nó giải mã lưu lượng HTTPS trước khi gỡ cài đặt và xóa lại chứng chỉ.

Xóa (các) chứng chỉ gốc của Fiddler

  1. nhấn Win +r
  2. Mở: certmgr.msc
  3. Xem qua tất cả các thư mục và loại bỏ DO_NOT_TRUST_FiddlerRoot chứng chỉ.

Gỡ cài đặt Fiddler

  1. Chuyển đến Bảng điều khiển »Chương trình» Chương trình và Tính năng.
  2. Gỡ cài đặt Fiddler. Một nguồn tin nói rằng Fiddler có thể được gọi là "FiddlerRoot" hoặc "BrowserSafeguard".

Xóa cài đặt proxy

Giả sử bình thường bạn không sử dụng proxy proxy khác

  1. Chuyển đến Bảng điều khiển »Tùy chọn Internet.
  2. Trong Thuộc tính Internet, chuyển đến tab "Kết nối".
  3. Trong "Cài đặt mạng cục bộ (LAN)", nhấp vào "Cài đặt mạng LAN".
  4. Xóa và bỏ chọn cài đặt proxy của bạn như vậy: Ảnh chụp màn hình của Cài đặt mạng cục bộ (LAN)

Loại bỏ phần mềm độc hại

Như đã đề xuất trước đây trên Super User , bạn nên cố gắng tìm và xóa phần mềm độc hại ban đầu hiển thị các trang web HTTPS đã sửa đổi.

Lời khuyên chi tiết:
Làm cách nào tôi có thể loại bỏ phần mềm gián điệp độc hại, phần mềm độc hại, phần mềm quảng cáo, vi rút, trojan hoặc rootkit khỏi PC của tôi?


Cảm ơn đã viết chi tiết. Tôi không thể tin rằng Fiddler là bất chính vì đồng nghiệp của tôi và tôi sử dụng nó gần như hàng ngày trong nhiều năm. Tôi có thể tin rằng một cái gì đó khác có thể đã tận dụng Chứng chỉ FiddlerRoot. Tôi đã luôn cài đặt Fiddler và gần đây không nâng cấp, vấn đề này đã xuất hiện trong vài ngày qua. Nếu Fiddler là bất chính, tôi không nghĩ nó sẽ có "DO_NOT_TRUST" trong tên chứng chỉ. Cuối cùng, cái đã được sửa là: Cài đặt -> Hiển thị cài đặt nâng cao -> Trong mạng -> Thay đổi Cài đặt proxy -> Nâng cao -> Đặt lại
Derek Ziemba

Ngoài ra certlm.msc dường như không có sẵn trong Win7. Tuy nhiên tôi đã xóa tất cả các mục nhập chứng chỉ cho Fiddler bằng certmgr.msc. Ngoài ra trong Cài đặt Fiddler, tôi đã tắt các tùy chọn cho phép nó giải mã lưu lượng HTTPS trước khi gỡ cài đặt và xóa lại chứng chỉ. Nếu bạn chỉnh sửa bài đăng của mình để bao gồm các bước hơi khác nhau này, tôi sẽ đánh dấu đây là câu trả lời vì cuối cùng nó đã khắc phục được vấn đề.
Derek Ziemba

@DerekZiemba: Chỉ gặp nhiều khiếu nại tôi tìm thấy về Fiddler, tôi không biết nó là gì, nhưng bây giờ tôi đã tra cứu nó, tôi thấy nó được coi là một công cụ hợp pháp. Tôi đã thay đổi câu trả lời của mình để làm cho nó ít bị buộc tội hơn và cũng để đưa vào các sự kiện chính xác mà bạn tìm thấy.
Deltik

2
Bạn RẤT bối rối về Fiddler. Fiddler là một công cụ gỡ lỗi web. Nó không có hành vi độc hại nào, và nó không bao giờ được cài đặt trừ khi bạn đích thân cài đặt nó bằng trình cài đặt được tải xuống từ Telerik. Kịch bản được mô tả ở đây là một phần mềm độc hại đang cố gắng tránh bị phát hiện bằng cách làm cho nó trông giống như Fiddler.
EricLaw

Xin chào @EricLaw. Tôi rất vinh dự được bình luận chính thức / có thẩm quyền của bạn. Đó là lỗi của tôi vì không hiểu biết và cho trọng lượng không đáng có so với Fiddler. Tôi đã chỉnh sửa câu trả lời của tôi để bao gồm đầu vào của bạn. Tôi xin lỗi về sự bất tiện này. (Rốt cuộc, bạn gần đủ để bước tới gần tôi và đấm vào mặt tôi!)
Deltik
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.