溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

SearchPageInstaller是什么

發(fā)布時(shí)間:2021-12-28 10:05:57 來(lái)源:億速云 閱讀:128 作者:小新 欄目:網(wǎng)絡(luò)安全

這篇文章將為大家詳細(xì)講解有關(guān)SearchPageInstaller是什么,小編覺(jué)得挺實(shí)用的,因此分享給大家做個(gè)參考,希望大家閱讀完這篇文章后可以有所收獲。

SearchPageInstaller(SPI)是一款惡意廣告軟件,它從2017年就已經(jīng)開(kāi)始活躍了,不過(guò)在研究人員檢測(cè)到的最新樣本中,我們發(fā)現(xiàn)它開(kāi)始使用mitmproxy了,而且這個(gè)版本已經(jīng)是好幾個(gè)月之前的版本了:

SearchPageInstaller是什么

這款惡意軟件使用了一種新型的方法來(lái)通過(guò)廣告賺取收益,普通的惡意廣告軟件主要使用的是重定向?yàn)g覽器頁(yè)面的方式,但SPI會(huì)向用戶搜索結(jié)果頁(yè)面的HTML代碼頂部注入惡意廣告。首先,攻擊者需要在受感染主機(jī)中啟用HTTP和HTTPS代理,系統(tǒng)設(shè)置中網(wǎng)絡(luò)管理面板的代理標(biāo)簽頁(yè)配置就是證據(jù):

SearchPageInstaller是什么

然后在命令行界面通過(guò)命令system_profiler SPNetworkDataType | grep 'Proxy Enabled'來(lái)啟用配置:

SearchPageInstaller是什么

在對(duì)受SearchPageInstaller感染的Web頁(yè)面代碼進(jìn)行審計(jì)之后,我們可以看到SPI注入的惡意代碼,這里它會(huì)替換掉其他所有的廣告:

SearchPageInstaller是什么

腳本源來(lái)自于chaumonttechnology.com,VirusTotal的兩個(gè)檢測(cè)引擎都已經(jīng)將該主機(jī)標(biāo)記為了惡意主機(jī):

SearchPageInstaller是什么

中間人攻擊

關(guān)于Web代理,SPI使用了mitmproxy(一款開(kāi)源的HTTPS代理工具)和腳本inject.py來(lái)向Web頁(yè)面的代碼注入惡意腳本代碼:

SearchPageInstaller是什么

這是因?yàn)閙itmproxy能夠在客戶端與服務(wù)器端之間以“中間人”的形式來(lái)工作,然后通過(guò)創(chuàng)建偽造的證書(shū)來(lái)讓客戶端以為它就是服務(wù)器,讓服務(wù)器以為它就是客戶端。當(dāng)用戶不小心輸入了管理密碼之后,SPI的代碼將會(huì)自動(dòng)安裝mitmproxy CA證書(shū),下面是我們?cè)趍acOS 10.14 Mojave上檢測(cè)到的攻擊場(chǎng)景:

SearchPageInstaller是什么

授權(quán)之后,mitmproxy CA證書(shū)以及其他所需的證書(shū)都可以通過(guò)中間人攻擊來(lái)捕捉到,并且會(huì)全部寫(xiě)入到隱藏的~/mitmproxy目錄中:

SearchPageInstaller是什么

惡意軟件檢測(cè)

正如我們所看到的那樣,SearchPageInstaller啟動(dòng)之后,它首先會(huì)嘗試獲取安裝新證書(shū)的權(quán)限。接下來(lái),它會(huì)嘗試修改目標(biāo)主機(jī)上的網(wǎng)絡(luò)代理設(shè)置,這個(gè)操作需要管理員權(quán)限,因此它會(huì)彈出另一個(gè)認(rèn)證請(qǐng)求窗口:

SearchPageInstaller是什么

下面給出的是整個(gè)攻擊的實(shí)現(xiàn)過(guò)程,我們可以看到惡意軟件創(chuàng)建的每一個(gè)進(jìn)程以及對(duì)應(yīng)的生成事件:

SearchPageInstaller是什么

右側(cè)面板的放大視圖可以查看當(dāng)前選定的事件,比如說(shuō)我們這里選中的就是mitmdump代碼執(zhí)行情況[20],它是mitmproxy提供的命令行工具。

Mitmdump工具可以查看、記錄和發(fā)送HTTP流量。我們可以看到進(jìn)程調(diào)用inject.py腳本并向其提供參數(shù)。這些命令可以讓mitmproxy在通過(guò)HTTPS連接時(shí)忽略那些能夠匹配正則表達(dá)式的特定域名,這樣可以繞開(kāi)那些采用了證書(shū)綁定保護(hù)機(jī)制的特定流量。

接下來(lái),Mitmdump進(jìn)程會(huì)生成一個(gè)shell進(jìn)程[23],并調(diào)用uname工具[21]來(lái)獲取目標(biāo)設(shè)備的架構(gòu)信息。

下面給出的是每一個(gè)進(jìn)程的網(wǎng)絡(luò)通信流量:

SearchPageInstaller是什么

這樣一來(lái),當(dāng)攻擊者拿到了目標(biāo)設(shè)備的基礎(chǔ)配置之后,就可以在感染完成或攻擊結(jié)束之后將目標(biāo)設(shè)備還原為之前的配置。

關(guān)于“SearchPageInstaller是什么”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,使各位可以學(xué)到更多知識(shí),如果覺(jué)得文章不錯(cuò),請(qǐng)把它分享出去讓更多的人看到。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI