灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9477|回复: 0

攻击者部署流氓代理电脑劫持HTTPS流量.远程控制软件,灰鸽子远程控制软件

[复制链接]
发表于 2016-8-31 11:52:59 | 显示全部楼层 |阅读模式
攻击者部署流氓代理电脑劫持HTTPS流量.远程控制软件,灰鸽子远程控制软件
新的攻击使用加载恶意代码的单词文档, 远程控制, 灰鸽子远程控制软件。
安全研究人员在最近几个月强调,在浏览器和操作系统的Web代理配置可以被滥用,窃取敏感的用户数据。看来,攻击者正在追赶。
一个新的发现攻击和恶意软件研究人员分析使用微软Word文档的恶意代码,不安装传统的恶意软件,而是配置浏览器使用攻击者控制的Web代理。
除了部署流氓代理设置,攻击还安装了一个自签名根证书的系统,攻击者可以窃取加密的HTTPS流量,因为它通过自己的代理服务器。
进攻开始与垃圾邮件有docx附件。打开时,该文档显示类似于发票或收据的嵌入元素。如果点击允许运行,嵌入对象执行恶意的JavaScript代码。
JavaScript代码混淆,但其目的是降和执行多个PowerShell脚本。PowerShell脚本环境,内置到Windows允许管理任务的自动化。
其中的PowerShell脚本部署签名的根证书,以后会被用来监测HTTPS流量自。另一个脚本添加相同的证书到Mozilla Firefox浏览器,它使用一个单独的比在Windows证书存储区。
第三脚本安装一个客户端,允许计算机连接到Tor网络的匿名性。这是因为攻击者使用Tor。洋葱网站服务代理配置文件。
该系统的代理自动配置设置,然后在注册表中修改指向“洋葱地址”。这允许攻击者可以很容易地改变未来的代理服务器,如果它是由研究人员离线。
“在这一点上,该系统完全感染和网络流量,包括HTTPS,可以由它指定的代理服务器,“微软的研究人员在一篇博客文章中说。”这使攻击者能够远程重定向,修改和监控流量。敏感的信息或网络凭据可能被远程窃取,没有用户的意识。”
从SANS互联网风暴中心的研究人员最近从巴西报道类似的攻击,黑客在那里安装流氓代理计算机上以劫持流量到网上银行网站。一个流氓的根CA证书部署在这种情况下,为了绕过HTTPS加密。
在DEF CON和黑帽安全会议本月早些时候,一些研究人员表明中间人攻击可以滥用Web代理自动发现(找到WPAD)协议远程劫持人们的网上帐户,窃取他们的敏感信息,即使这些用户访问网站加密的HTTPS或VPN连接。

评帖赚银币(0) 收起
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-2 01:22 , Processed in 0.079269 second(s), 22 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表