|
|
攻擊者部署流氓代理電腦劫持HTTPS流量.遠(yuǎn)程控制軟件,灰鴿子遠(yuǎn)程控制軟件
新的攻擊使用加載惡意代碼的單詞文檔, 遠(yuǎn)程控制, 灰鴿子遠(yuǎn)程控制軟件��。
安全研究人員在最近幾個(gè)月強(qiáng)調(diào),在瀏覽器和操作系統(tǒng)的Web代理配置可以被濫用����,竊取敏感的用戶數(shù)據(jù)���?磥(lái),攻擊者正在追趕��。
一個(gè)新的發(fā)現(xiàn)攻擊和惡意軟件研究人員分析使用微軟Word文檔的惡意代碼��,不安裝傳統(tǒng)的惡意軟件��,而是配置瀏覽器使用攻擊者控制的Web代理�。
除了部署流氓代理設(shè)置,攻擊還安裝了一個(gè)自簽名根證書(shū)的系統(tǒng)��,攻擊者可以竊取加密的HTTPS流量�,因?yàn)樗ㄟ^(guò)自己的代理服務(wù)器。
進(jìn)攻開(kāi)始與垃圾郵件有docx附件����。打開(kāi)時(shí)�,該文檔顯示類(lèi)似于發(fā)票或收據(jù)的嵌入元素�。如果點(diǎn)擊允許運(yùn)行,嵌入對(duì)象執(zhí)行惡意的JavaScript代碼�。
JavaScript代碼混淆,但其目的是降和執(zhí)行多個(gè)PowerShell腳本�。PowerShell腳本環(huán)境,內(nèi)置到Windows允許管理任務(wù)的自動(dòng)化��。
其中的PowerShell腳本部署簽名的根證書(shū)��,以后會(huì)被用來(lái)監(jiān)測(cè)HTTPS流量自����。另一個(gè)腳本添加相同的證書(shū)到Mozilla Firefox瀏覽器,它使用一個(gè)單獨(dú)的比在Windows證書(shū)存儲(chǔ)區(qū)�。
第三腳本安裝一個(gè)客戶端,允許計(jì)算機(jī)連接到Tor網(wǎng)絡(luò)的匿名性��。這是因?yàn)楣粽呤褂肨or��。洋蔥網(wǎng)站服務(wù)代理配置文件��。
該系統(tǒng)的代理自動(dòng)配置設(shè)置�,然后在注冊(cè)表中修改指向“洋蔥地址”�。這允許攻擊者可以很容易地改變未來(lái)的代理服務(wù)器��,如果它是由研究人員離線�。
“在這一點(diǎn)上,該系統(tǒng)完全感染和網(wǎng)絡(luò)流量����,包括HTTPS,可以由它指定的代理服務(wù)器��,“微軟的研究人員在一篇博客文章中說(shuō)���!边@使攻擊者能夠遠(yuǎn)程重定向�,修改和監(jiān)控流量。敏感的信息或網(wǎng)絡(luò)憑據(jù)可能被遠(yuǎn)程竊取����,沒(méi)有用戶的意識(shí)��!
從SANS互聯(lián)網(wǎng)風(fēng)暴中心的研究人員最近從巴西報(bào)道類(lèi)似的攻擊��,黑客在那里安裝流氓代理計(jì)算機(jī)上以劫持流量到網(wǎng)上銀行網(wǎng)站����。一個(gè)流氓的根CA證書(shū)部署在這種情況下�,為了繞過(guò)HTTPS加密��。
在DEF CON和黑帽安全會(huì)議本月早些時(shí)候�,一些研究人員表明中間人攻擊可以濫用Web代理自動(dòng)發(fā)現(xiàn)(找到WPAD)協(xié)議遠(yuǎn)程劫持人們的網(wǎng)上帳戶,竊取他們的敏感信息��,即使這些用戶訪問(wèn)網(wǎng)站加密的HTTPS或VPN連接����。
|
|
加載中...
發(fā)表于 2016-8-31 11:52:59
QQ好友和群
收藏