攻击者使用流氓代理来劫持HTTPS流量
HMRC的海关IT系统可能在Brexit之前可能没有准备就绪
ATOS目标大学和研究中心与量子计算模拟器
'Mayhem'首先在DARPA的全电脑黑客挑战中获取
使用光滑的预兆PCS,HP在高端游戏中发出了飞溅
Apple的iPhone 7耳机计划的好,坏和丑陋
Acer的新Chromebook旨在欢迎Android应用程序
NHS Digital告诉它在批判性评审后,它“需要做得更好”
随着欧盟移动漫游收费的结束,行业担保影响
三星回忆起电池消防报告的说明
共和党人将三个科技公司推出克林顿电子邮件
麦斯拉·塞拉的β节点指向10月份发射
微软终于修复了Surface Pro 3电池堵塞
CIO采访:James Robbins,Cio,Drax集团
涉及安全性时,一个智能插头并不如此明亮
Kinvey和Redox想要帮助医疗保健供应商创新
nginx Web服务器升级侧重于Web安全性,JS配置
此Android Botnet依赖于其命令的Twitter
邪恶客户受到“系统范围”的在线订购问题
威尔士村首先品尝4G连接
Cisco的首席隐私官说,科技需要废弃'战争类别'
欧洲采取了ROI担忧的推动了测量的5G方法
英国选民担心选举将由黑客瞄准
Apple Stites iPad Pro作为计算机
思科为伦敦市建立O2公共Wi-Fi网络
Infosec17:CheckRecietient Crooked UK最具创新性的网络安全公司
希捷建造了一个渴望的60tb SSD,它旨在明年发货
政府颁奖典礼1600万英镑的5G试用网络
AMD FLESHES OUT EPYC数据中心服务器处理器策略
美国在信用卡盗窃方案中定罪俄罗斯黑客
verizon否认数据丢失,但承认可能是巨大的违约
在AMD的发展中,Zen CPU的发展
马刺注册智能边缘以数字化新体育场
数字建议区块链是金融服务中的“没有大脑”
云公司获得Infinidat Hybrid闪光灯,以节省250,000英镑的储存
谷歌让Android用户在他们的应用中搜索
火星流浪者好奇心庆祝成立四周年
在六月达到了恶意的恶意,揭示了检查点
Wannacry显示了基于风险的安全的有效性,说RSA头
麻省理工学院研究人员发现三重无线速度的方法
面试:Louise McCarthy和Valeria della Rosa,eBRD
Ponemon Institute的研究突出了公共部门缺乏信心
近一半英国中小企业花费不到1000英镑的网络防御
TSB在2017年9月介绍Iris扫描身份验证
nao说,英国需要对在线欺诈的紧急回应
疑似跨越式跨越,而不是黑暗主义,围绕所谓的NSA黑客漩涡
Cerber Ransomware通过招募不熟练的黑客以现金耙
无线充电器还悬挂了您的智能手机,平板电脑
国际网络犯罪裂缝导致四个英国逮捕
KB 3187022修复MS16-098 / KB 3177725,但不适用于Windows 10
您的位置:首页 >电子新闻 >

攻击者使用流氓代理来劫持HTTPS流量

2021-07-15 16:44:01 [来源]:

最近几个月,安全研究人员突出显示了如何滥用浏览器和操作系统中的Web代理配置来窃取敏感的用户数据。似乎攻击者正在捕捉。

来自Microsoft的恶意软件研究人员发现并分析了一个新的攻击,使用Word文档与恶意代码不安装传统恶意软件,而是康复浏览器使用攻击者控制的Web代理。

除了部署Rogue代理设置外,攻击还在系统上安装了自签名的根证书,以便攻击者可以在通过其代理服务器传递时窥探加密的HTTPS流量。

该攻击从具有.docx附件的垃圾邮件映射开始。打开后,文档显示类似发票或收据的嵌入元素。如果单击并允许运行,则嵌入对象执行恶意JavaScript代码。

JavaScript代码被困扰,但其目的是删除并执行多个PowerShell脚本。PowerShell是一个脚本环境,内置于Windows中,有助于自动执行管理任务。

其中一个PowerShell脚本部署了一个自签名的根证书,稍后将用于监视HTTPS流量。另一个脚本为Mozilla Firefox浏览器添加了与Mozilla Firefox浏览器相同的证书,它使用与Windows中的单独的证书存储库。

第三个脚本安装一个客户端,允许计算机连接到TOR匿名网络。这是因为攻击者使用Tor .onion网站来服务代理配置文件。

然后在注册表中修改系统的代理自动配置设置以指向.onion地址。这允许攻击者在将来轻松更改代理服务器,如果研究人员正在脱机。

“此时,系统完全感染,并且可以通过分配的代理服务器看到包括HTTPS的Web流量,”Microsoft研究人员在博客文章中表示。“这使攻击者能够远程重定向,修改和监控流量。无需用户意识,敏感信息或网络凭据可能会被偷走。“

来自SAN互联网风暴中心的研究人员最近报告了巴西的类似攻击,黑客在计算机上安装了流氓代理,以便将流量劫持到在线银行网站。在这种情况下部署了流氓根CA证书,以便绕过HTTPS加密。

在本月早些时候的Def Con和Black Hat Security会议上,一些研究人员展示了中间人攻击者如何滥用Web代理自动发现(WPAD)协议以远程劫持人员的在线帐户并窃取他们的敏感信息,即使这些用户访问过加密的HTTPS或VPN连接的网站。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。