3d雷霆赛车-emm…印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击 – 蓝点网

大约 10 年前业界开始提倡网站摆设 HTTPS 加密连接，度杀毒软点网这样可以免网站或办事遭到中间人攻击 (MitM) 而劫持流量，击蓝长期比如此前部分网络运营商直接在用户拜访网站时拔出弹窗显示账户余额d雷霆赛车提醒充值等就是使用通过劫持实现的。

蓝点网大约也是协议在 10 年前摆设 HTTPS 连接的，彼时尚未免费的被黑 HTTPS 证书，所以需要自己购买证书，客用一年期数字证书便宜的发起也得几百块钱，不过摆设 HTTPS 后就能大幅度降低被劫持的中间概率。

现在几乎所有网站和办事都已经采用加密协议连接，人攻但让人无法理解的度杀毒软点网是，印度本土杀毒软件 eScan 竟然从 2019 年开始就一直使用 HTTP 明文协议来提供更新。击蓝

eScan 使用 HTTP 明文协议推送软件更新d雷霆赛车然后有黑客就发现了机会，使用所谓最危险之处就是协议最安全之处，黑客在一款杀毒软件的眼皮底下使用杀毒软件本身的更新机制来投放病毒。

时间回到 2023 年 7 月：

捷克杀毒软件开发商 AVAST 的研究人员注意到一款被其他研究人员称为 GuptiMiner 的恶意软件，该恶意软件暗地里有着极其复杂的攻击链路，并且还盯上了 eScan 的 HTTP 明文协议。

当 eScan 发起更新时复杂的攻击链路就开始了，黑客首先执行中间人攻击从而拦截 eScan 发往办事器发送的哀求数据包，接着再通过伪造的办事器返回恶意数据包，返回的数据包也是 eScan 提供的更新，只不过里面已经被拔出了 GuptiMiner 恶意软件。

当 eScan 接到返回的数据包并执行更新时，恶意软件也被暗暗释放并执行，显然除了使用 HTTP 明文协议外，eScan 可能尚未对数据包进行签名或哈希校验 (也可能是返回的数据包里已经对哈希进行了修改)。

而这家杀毒软件至少从 2019 年开始就一直使用 HTTP 明文协议提供更新，虽然无法证明黑客是什么时候利用起来的，但劫持更新来感染设备应该持续好几年了。

恶意软件的目的：

比较搞笑的是这款恶意软件使用复杂的攻击链发起攻击，但最终目的可能是挖矿，至少 AVAST 注意到 GuptiMiner 除了安装多个后门程序外 (这属于常规操作)，还释放了 XMrig，这是一款 XMR 门罗币开源挖矿程序，可以使用 CPU 执行挖矿。

至于其他恶意目的都属于比较常规的，例如如果被感染的设备位于大型企业内网中，则会尝试横向传播感染更多设备。

如何实现劫持的：

这个问题 AVAST 似乎也没搞清楚，研究人员怀疑黑客通过某种手段破坏了目标网络，从而将流量路由到恶意办事器。

AVAST 研究发现黑客去年保持了使用 DNS 技术，使用一种名为 IP 掩码的混淆技术取而代之，并且还会在被感染设备上安装自定义的 ROOT TLS 证书，这样就能签发任意证书实现各种连接都可以劫持。

AVAST 向印度 CERT 和 eScan 披露漏洞后，后者在 2023 年 7 月 31 日修复了漏洞，也就是换成为了 HTTPS 加密协议。

最新评论