攻击者将计算机上的流氓代理部署到劫持HTTPS流量
成千上万的德意志银行员工将被机器人所取代
NVIDIA推出了世界上第一个'AI电脑芯片,适用于完全自治车辆
保健在自行车出租车服务的新加坡开始试验
通过私下,Rackspace希望燃料云进化
加州大学聘请了基于印度的IT外卖,铺设了技术工人
一些Windows用户的Sophos虚假正面检测遗址周末
在Windows 7和8.1修补的未来偷看
Gartner:阿里巴巴优于AWS,Microsoft和Google在公共云收入增长中
欧洲银行摆脱零售服务中的人类互动
WEF将掌握转型技术提出的风险
化石旨在使智能手表变得时尚
Benelux组织必须确保IT人员是内容或其他风险埃及
FBI警告,黑客是针对国家选举系统
最佳vmworld 2017年奖项提名现在营业至8月31日
公民咨询要求暂停普遍信贷
微软终于有困扰杀手
东芝希望无云的智能手机备份将有一个光明的未来
Ofcom建立了OpenReach监测单位
纽卡斯尔委员会数据泄漏表明需要安全自动化
远程信息处理公司追踪管理SIMS和IOT的增长
IT承包商 - LED对Crowdfund法律挑战对IR35改革的竞选活动
迪拜卫生当局的第二阶段电子记录实施将于2017年8月开始
Apple iPhone 7包装有几个小惊喜(并不是所有的东西都是好的)
Lenovo Crams 48TB的SSD存储在板上
加密密钥太可预测,警告安全研究人员
英国政府开始招募Brexit的数字专家
Facebook股价点击纪录高
Ocado技术在格林威治完成了两周的自动驾驶范式试验
新的Surface Pro 3固件更新应解决电池堵塞
作为IOT的5G头,4G远非完成
谷歌被欧洲委员会罚款额外互联网搜索统治委员会的额外委员会
谜语用户在克林顿的服务器上违反了一封电子邮件帐户
HPE在A.I上赌注。燃料您的应用程序和分析
BT使得能够满足USO宽带承诺
事件业务使用固定无线服务于要求苛刻的客户
尽管有很大的努力,Apple在印度失去了智能手机份额
微软的新套件与覆盆子PI更轻松地制作小工具开发
中东零售商敦促拥抱电子商务平台
思科Live 2017:换档技能的故事和增加的安全性
Kaminario CTO表示,NVME Flash由阵列架构阻止
Google的Closure Compiler从Java移动到JavaScript
面试:沃达丰CTO Juggles遗产网络和尖端技术
传统外包在2017年上半年推动整体支出
VMware'Cloud Foundation'集成虚拟计算,网络和存储系统
澳大利亚在倾斜点的区间通过
领主查询发现数据流关键到Brexit贸易和安全
东芝将SSD存储容量提高到7.68TB
家庭办公室确认为Oracle英国云区域的早期采用者
伦敦证券交易所使用IBM BlockChain技术
您的位置:首页 >电子新品 >

攻击者将计算机上的流氓代理部署到劫持HTTPS流量

2021-07-16 16:44:03 [来源]:

最近几个月,安全研究人员突出显示了如何滥用浏览器和操作系统中的Web代理配置来窃取敏感的用户数据。似乎攻击者正在捕捉。

来自Microsoft的恶意软件研究人员发现并分析了一个新的攻击,使用Word文档与恶意代码不安装传统恶意软件,而是康复浏览器使用攻击者控制的Web代理。

除了部署Rogue代理设置外,攻击还在系统上安装了自签名的根证书,以便攻击者可以在通过其代理服务器传递时窥探加密的HTTPS流量。

该攻击从具有.docx附件的垃圾邮件映射开始。打开后,文档显示类似发票或收据的嵌入元素。如果单击并允许运行,则嵌入对象执行恶意JavaScript代码。

JavaScript代码被困扰,但其目的是删除并执行多个PowerShell脚本。PowerShell是一个脚本环境,内置于Windows中,允许管理任务的自动化。

其中一个PowerShell脚本部署了一个自签名的根证书,稍后将用于监视HTTPS流量。另一个脚本为Mozilla Firefox浏览器添加了与Mozilla Firefox浏览器相同的证书,它使用与Windows中的单独的证书存储库。

第三个脚本安装一个客户端,允许计算机连接到TOR匿名网络。这是因为攻击者使用Tor .onion网站来服务代理配置文件。

然后在注册表中修改系统的代理自动配置设置以指向.onion地址。这允许攻击者在将来轻松更改代理服务器,如果研究人员正在脱机。

“此时,系统完全感染,并且可以通过分配的代理服务器看到包括HTTPS的Web流量,”Microsoft研究人员在博客文章中表示。“这使攻击者能够远程重定向,修改和监控流量。无需用户意识,敏感信息或网络凭据可能会被偷走。“

来自SAN互联网风暴中心的研究人员最近报告了巴西的类似攻击,黑客在计算机上安装了流氓代理,以便将流量劫持到在线银行网站。在这种情况下部署了流氓根CA证书,以便绕过HTTPS加密。

在本月早些时候的Def Con和Black Hat Security会议上,一些研究人员展示了中间人攻击者如何滥用Web代理自动发现(WPAD)协议以远程劫持人员的在线帐户并窃取他们的敏感信息,即使这些用户访问过加密的HTTPS或VPN连接的网站。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。