Wyszukiwarka Google została przejęta tylko wtedy, gdy nie była obserwowana. Dołączenie debugera zwraca normalne wyniki

12

Nie mogę tego rozgryźć. Zauważyłem, że moje wyniki wyszukiwania były ostatnio nieco „inne”.

  • Nie jestem zalogowany podczas wyszukiwania w Google, ale jeśli kliknę „Obrazy” lub „Wideo”, wyświetli się jako zalogowany.
  • Na pasku bocznym strony wyszukiwania nie ma informacji o Wikipedii.
  • Jeśli wyłączę Ghostery i uBlock, wiele wyników to reklamy.

Postanowiłem sprawdzić narzędzia programistyczne i zauważyłem, że na stronie wystąpił błąd SyntaxError, kliknąłem go, co faktycznie prowadzi do funkcji javascript, która zastępuje adres internetowy Google.

Problem zdaje się występować tylko w Chrome, tutaj jest obok Firefox: http://i.imgur.com/7J1G9mR.png

Próbowałem dołączyć Fiddler Web Debugger do przechwytywania ruchu, aby zobaczyć, gdzie jestem przekierowywany. Ale gdy tylko dołączę debuger internetowy, wszystko znika i wyświetla mi się strona wyszukiwania .... Źródło strony, gdy Fiddler przechwytuje, jest zupełnie inne.

Poniżej znajduje się zrzut ekranu przedstawiający gifv. Zaczyna się od przejętej strony i okrążam kursorem kilka szkicowych dodatkowych plików źródłowych javascript. Następnie każę Fiddlerowi przechwytywać ruch i odświeżać wyniki wyszukiwania. Strona, której wyświetlam, jest zupełnie inna. W końcu ponownie wyłączam przechwytywanie ruchu i odświeżam stronę, aby wyświetlić przejętą stronę i zabieram cię do funkcji z błędem składni, który ma zastąpić adres internetowy.

http://i.imgur.com/gbWkkLp.gifv

Uruchomiłem Malwarebytes i nie otrzymałem żadnych wyników. Spybot wymyślił kilka trafień, ale usunięcie ich nie rozwiązało problemu. Całkowicie zresetowałem Chrome za pomocą narzędzia dostarczonego przez Google. Jeśli użyję innego profilu internetowego, takiego jak ten, na którym wystawiam rachunki, nie otrzymam wyników wyszukiwania. Jeśli włączę skrzypek, nagle otrzymuję wyniki. wprowadź opis zdjęcia tutaj

Derek Ziemba
źródło
2
Google używa HTTPS do dostarczania wyników. Sprawdź certyfikat witryny i upewnij się, że jest podpisany przez Google Internet Authority G2 . Jeśli nie, ktoś dodał nowy certyfikat główny do twojego komputera i przejmuje kontrolę nad ruchem.
Deltik
Możesz się tu czegoś zainteresować. Został podpisany przez „DO_NOT_TRUST_FiddlerRoot”, więc może nie być przypadkiem, że działa, gdy skrzypek przechwytuje ruch. i.imgur.com/b61IkYc.png Usunąłem wszystkie certyfikaty Fiddler za pomocą certmgr.cfg. Czy celowano w skrzypka? Od czasu usunięcia FiddlerRoot nie mogę uzyskać dostępu do google.com
Derek Ziemba
1
Wygląda na to, że Fiddler był w przeszłości powiązany z oprogramowaniem reklamowym HTTPS, tutaj, na Super User . Możesz pozbyć się Skrzypka. Prawdopodobnie zmień również hasło, gdy będziesz na bezpiecznym komputerze.
Deltik
Po ponownym uruchomieniu mogę ponownie uzyskać dostęp do Google, a certyfikat jest podpisany przez „Google Internet Authority G2”, ale tylko wtedy, gdy Fiddler jest ustawiony na przechwytywanie ruchu. Gdy skrzypek nie jest przechwytywany ani odinstalowywany, Google wraca do używania nieprawidłowego certyfikatu. Nie mam czasu na ponowne instalowanie wszystkiego ...
Derek Ziemba
Różne rodzaje złośliwego oprogramowania sprawdzają, czy Fiddler jest w użyciu, a jeśli tak, przestają wykonywać złośliwe działania, aby ukryć swoje działania.
EricLaw

Odpowiedzi:

8

Niektóre złośliwe oprogramowanie prawdopodobnie podszywa się pod Fiddler , jak zauważył pierwotny twórca Fiddler, Eric Lawrence :

Różne rodzaje złośliwego oprogramowania sprawdzają, czy Fiddler jest w użyciu, a jeśli tak, przestają wykonywać złośliwe działania, aby ukryć swoje działania.

( źródło )

Fiddler to internetowe narzędzie do debugowania. Nie ma żadnego złośliwego działania i nigdy nie jest instalowany, chyba że osobiście zainstalujesz go za pomocą instalatora pobranego z Telerik. Opisany tu scenariusz to szkodliwe oprogramowanie, które próbuje uniknąć wykrycia, wyglądając jak Fiddler.

( źródło )


Zachowanie

Najwyraźniejszym znakiem złośliwego oprogramowania jest to, że Google Chrome nie ładuje witryn HTTPS zgodnie z przeznaczeniem, chyba że używasz Fiddler do przechwytywania ruchu. Skrzypek nie jest zaprojektowany, aby zakłócać normalne przeglądanie Internetu, gdy nie jest używany.

Aby złośliwe oprogramowanie mogło się ukryć, musi przejąć proxy Fiddler i zrezygnować z ruchu HTTPS za pomocą klucza prywatnego certyfikatu Fiddler. Zmiana ustawień proxy jest banalna i możliwe jest uzyskanie kopii klucza prywatnego instalacji Fiddlera .

Certyfikat główny

Miałeś zainstalowany Fiddler certyfikat główny na swoim komputerze, który pozwala mu wstawiać się jako man-in-the-middle (MitM) do monitorowania zawartości danych przesyłanych przez HTTPS:

Zrzut ekranu z /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

W przeciwieństwie do tego, jak zwykle https://www.google.com/ jest zaufany:

Zrzut ekranu odpowiedniego łańcucha bezpieczeństwa Google HTTPS

Komputer ufa DO_NOT_TRUST_FiddlerRootcertyfikatowi, ponieważ został zainstalowany w magazynie zaufanych certyfikatów systemu operacyjnego.

Proxy do przechwytywania HTTPS

Wskazałeś, że HTTPS działa poprawnie w przeglądarce Mozilla Firefox, którą można skonfigurować tak, aby używała własnych niezależnych reguł proxy zamiast reguł proxy systemu operacyjnego. Google Chrome używa serwera proxy systemu operacyjnego bez łatwej opcji, aby zrobić inaczej.

Przechodząc przez serwer proxy Fiddler na poziomie systemu operacyjnego, Fiddler może być teraz MitM do przechwytywania niezaszyfrowanych danych HTTPS, wciąż obsługując witrynę. Skrzypek pobiera jakąś stronę internetową, a następnie podpisuje go jako „www.google.com” przy użyciu zaufanego certyfikatu, który był wcześniej DO_NOT_TRUST_FiddlerRoot.

W tych okolicznościach złośliwe oprogramowanie może przejąć zarówno serwer proxy, jak i certyfikat, aby dostarczyć ci niewłaściwą stronę, jednocześnie pokazując ci zielona ikona kłódki. Widzę, że prowadzi to do skomplikowanych ataków phishingowych.

Obawy dotyczące bezpieczeństwa

Związane z wymianą stosu zabezpieczeń: jakie zagrożenia dla bezpieczeństwa stwarzają dostawcy oprogramowania wdrażający serwery proxy przechwytujące SSL na komputerach użytkowników

Jak pisał kiedyś Eric Lawrence ,

Funkcje przechwytywania HTTPS firmy Fiddler (słusznie) podnoszą brwi wśród użytkowników dbających o bezpieczeństwo.

Właśnie dlatego Fiddler ostrzega przed konsekwencjami bezpieczeństwa przechwytywania ruchu HTTPS:

Zrzut ekranu z wbudowanym ostrzeżeniem Fiddler

Przez błąd użytkownika lub instalację złośliwego oprogramowania Fiddler został skojarzony z różnymi problemami:

Chociaż sam Fiddler nie jest szkodliwym programem, jego niewłaściwe użycie i nieporozumienia doprowadziły do złej reputacji w przeszłości i wirusów udających Fiddlera .


Usuwanie

Nie wiem, czy jakiś komputer został zainfekowany przez porywacza Fiddler, ale wskazałeś , że nie masz czasu na wyczyszczenie komputera i ponowną instalację, więc mam nadzieję, że poniższe kroki mogą pozbyć się Fiddlera i przywrócić prawidłowe bezpieczne zachowanie w sieci. (W dalszym ciągu zalecałbym ponowną instalację i zmianę hasła, szczególnie jeśli poważnie myślisz o bezpieczeństwie. Napisałeś, że Spybot - Search & Destroy znalazł jakieś złośliwe oprogramowanie).

Przedmowa: De-config Fiddler

Oryginalny plakat odkrył te dodatkowe kroki, aby rozwiązać swój problem z Fiddler:

Ostatecznie naprawiono to: Ustawienia -> Pokaż ustawienia zaawansowane -> W sieci -> Zmień ustawienia serwera proxy -> Zaawansowane -> Zresetuj

i

Również w ustawieniach Fiddlera wyłączyłem opcje pozwalające odszyfrować ruch HTTPS przed odinstalowaniem i ponownym wyczyszczeniem certyfikatów.

Usuń główne certyfikaty Fiddlera

  1. Naciśnij Win+r
  2. Otwarty: certmgr.msc
  3. Przejrzyj wszystkie foldery i usuń DO_NOT_TRUST_FiddlerRootcertyfikat.

Odinstaluj Fiddler

  1. Przejdź do Panelu sterowania »Programy» Programy i funkcje.
  2. Odinstaluj Fiddler. Jedno ze źródeł mówi, że Fiddler może nazywać się „FiddlerRoot” lub „BrowserSafeguard”.

Wyczyść ustawienia proxy

Zakładając, że zwykle nie używasz innego serwera proxy…

  1. Przejdź do Panelu sterowania »Opcje internetowe.
  2. We właściwościach internetowych przejdź do zakładki „Połączenia”.
  3. W obszarze „Ustawienia sieci lokalnej” (LAN) kliknij „Ustawienia LAN”.
  4. Wyczyść i odznacz swoje ustawienia proxy w następujący sposób: Zrzut ekranu z ustawieniami sieci lokalnej (LAN)

Usuń złośliwe oprogramowanie

Jak zasugerowano wcześniej dla superużytkownika , powinieneś spróbować znaleźć i usunąć oryginalne złośliwe oprogramowanie, które wyświetlało zmodyfikowane strony HTTPS.

Szczegółowa rada:
jak usunąć złośliwe oprogramowanie szpiegujące, złośliwe oprogramowanie, oprogramowanie reklamowe, wirusy, trojany lub rootkity z mojego komputera?

Deltik
źródło
Dziękuję za szczegółowy opis. Nie mogę uwierzyć, że Fiddler jest nikczemny, ponieważ moi współpracownicy i ja używam go prawie codziennie przez lata. Wierzę, że coś jeszcze skorzystało z certyfikatu FiddlerRoot. Zawsze miałem zainstalowany Fiddler i nie przeprowadzałem ostatnio aktualizacji, ten problem pojawił się w ciągu ostatnich kilku dni. Gdyby Fiddler był nikczemny, nie sądzę, żeby miał w nazwie certyfikatu „DO_NOT_TRUST”. Ostatecznie to naprawiłem: Ustawienia -> Pokaż ustawienia zaawansowane -> W sieci -> Zmień ustawienia serwera proxy -> Zaawansowane -> Zresetuj
Derek Ziemba
Wydaje się również, że certlm.msc nie jest dostępny w Win7. Jednak usunąłem wszystkie wpisy certyfikatu dla Fiddlera za pomocą certmgr.msc. Również w ustawieniach Fiddlera wyłączyłem opcje pozwalające odszyfrować ruch HTTPS przed odinstalowaniem i ponownym wyczyszczeniem certyfikatów. Jeśli edytujesz swój post, aby uwzględnić te nieco inne kroki, oznaczę to jako odpowiedź, ponieważ ostatecznie rozwiązało to problem.
Derek Ziemba
@DerekZiemba: Przechodząc tylko do różnych skarg, które znalazłem na temat Fiddlera, nie wiedziałem, co to jest, ale teraz, kiedy to sprawdziłem, widzę, że to powinno być uzasadnione narzędzie. Zmieniłem swoją odpowiedź, aby uczynić ją mniej oskarżycielską, a także umieścić poprawione fakty, które znalazłeś.
Deltik
2
Jesteś bardzo zdezorientowany odnośnie Fiddlera. Fiddler to internetowe narzędzie do debugowania. Nie ma żadnego złośliwego działania i nigdy nie jest instalowany, chyba że osobiście zainstalujesz go za pomocą instalatora pobranego z Telerik. Opisany tu scenariusz to szkodliwe oprogramowanie, które próbuje uniknąć wykrycia, wyglądając jak Fiddler.
EricLaw
Witaj @EricLaw. Mam zaszczyt mieć twój oficjalny / autorytatywny komentarz. To moja wina, że ​​jestem niedoinformowany i nadmiernie obciążam Fiddlera. Zmodyfikowałem swoją odpowiedź, aby uwzględnić Twój wkład. Przepraszam za niedogodności. (W końcu jesteś wystarczająco blisko, aby
podejść