网络第5域

印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击

字号+作者: 来源:蓝点网 2024-04-26 15:09 评论(创建话题) 收藏成功收藏本文

现在几乎所有网站和服务都已经采用加密协议连接,但让人无法理解的是,印度本土杀毒软件eScan竟然从2019年开始就一直使用HTTP明文协议来提供更新。eScan使'...

现在几乎所有网站和服务都已经采用加密协议连接,但让人无法理解的是,印度本土杀毒软件eScan竟然从2019年开始就一直使用HTTP明文协议来提供更新。eScan使用HTTP明文协议推送软件更新,然后有黑客就发现了机会,所谓最危险的地方就是最安全的地方,黑客在一款杀毒软件的眼皮底下使用杀毒软件本身的更新机制来投放病毒。JIz品论天涯网

JIz品论天涯网

时间回到2023年7月:JIz品论天涯网

捷克杀毒软件开发商AVAST的研究人员注意到一款被其他研究人员称为GuptiMiner的恶意软件,该恶意软件背后有着极其复杂的攻击链路,并且还盯上了eScan的HTTP明文协议。JIz品论天涯网

当eScan发起更新时复杂的攻击链路就开始了,黑客首先执行中间人攻击从而拦截eScan发往服务器发送的请求数据包,接着再通过伪造的服务器返回恶意数据包,返回的数据包也是eScan提供的更新,只不过里面已经被插入了GuptiMiner恶意软件。JIz品论天涯网

当eScan接到返回的数据包并执行更新时,恶意软件也被悄悄释放并执行,显然除了使用HTTP明文协议外,eScan可能还没有对数据包进行签名或哈希校验(也可能是返回的数据包里已经对哈希进行了修改)。JIz品论天涯网

而这家杀毒软件至少从2019年开始就一直使用HTTP明文协议提供更新,虽然无法证明黑客是什么时候利用起来的,但劫持更新来感染设备应该持续好几年了。JIz品论天涯网

恶意软件的目的:JIz品论天涯网

比较搞笑的是这款恶意软件使用复杂的攻击链发起攻击,但最终目的可能是挖矿,至少AVAST注意到GuptiMiner除了安装多个后门程序外(这属于常规操作),还释放了XMrig,这是一款XMR门罗币开源挖矿程序,可以使用CPU执行挖矿。JIz品论天涯网

至于其他恶意目的都属于比较常规的,例如如果被感染的设备位于大型企业内网中,则会尝试横向传播感染更多设备。JIz品论天涯网

如何实现劫持的:JIz品论天涯网

这个问题AVAST似乎也没搞清楚,研究人员怀疑黑客通过某种手段破坏了目标网络,从而将流量路由到恶意服务器。JIz品论天涯网

AVAST研究发现黑客去年放弃了使用DNS技术,使用一种名为IP掩码的混淆技术取而代之,并且还会在被感染设备上安装自定义的ROOTTLS证书,这样就可以签发任意证书实现各种连接都可以劫持。JIz品论天涯网

AVAST向印度CERT和eScan披露漏洞后,后者在2023年7月31日修复了漏洞,也就是换成了HTTPS加密协议。JIz品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]