La Ricerca Google è stata dirottata solo quando non è stata osservata. Allegare un debugger restituisce risultati normali

12

Non riesco a capirlo. Ho notato che i miei risultati di ricerca erano un po '"diversi" in ritardo.

  • Non ho eseguito l'accesso quando eseguo una ricerca su Google, ma se faccio clic su "Immagini" o "Video", mi viene mostrato come connesso.
  • Non ci sono informazioni su Wikipedia nella barra laterale della pagina di ricerca.
  • Se disabilito Ghostery e uBlock, molti dei risultati sono annunci pubblicitari.

Ho deciso di controllare gli strumenti per sviluppatori e ho notato che c'era un SyntaxError nella pagina, l'ho cliccato e in realtà porta a una funzione javascript che sostituisce l'indirizzo web di Google.

Il problema sembra verificarsi solo in Chrome, ecco un side-by-side con Firefox: http://i.imgur.com/7J1G9mR.png

Ho provato a collegare Fiddler Web Debugger per catturare il traffico in modo da poter vedere dove sto per essere reindirizzato. Ma non appena allego un debugger web, tutto scompare e mi viene mostrata la pagina di ricerca vera e propria. La fonte della pagina quando Fiddler sta catturando è completamente diversa.

Di seguito è riportato un gifv di cattura dello schermo che lo mostra. Si inizia con la pagina dirottata e cerco il cursore attorno ad alcuni file sorgente javascript aggiuntivi abbozzati. Dico quindi a Fiddler di catturare il traffico e aggiornare i miei risultati di ricerca. La pagina che mi è servita è completamente diversa. Infine disabilito nuovamente l'acquisizione del traffico e aggiorno la pagina per mostrare la pagina dirottata e ti porto alla funzione con l'errore di sintassi che dovrebbe sostituire l'indirizzo web.

http://i.imgur.com/gbWkkLp.gifv

Ho eseguito Malwarebytes e non ho ottenuto risultati. Spybot ha riscontrato alcuni hit, ma rimuoverli non ha risolto il problema. Ho anche ripristinato completamente Chrome utilizzando lo strumento fornito da Google. Se utilizzo un profilo Web diverso, come quello in cui eseguo le mie fatture, non ottengo risultati di ricerca. Se abilito il violinista, improvvisamente ottengo risultati. inserisci qui la descrizione dell'immagine

google-chrome  fiddler  hijack  debugger 
Derek Ziemba
fonte
2
Google utilizza HTTPS per fornirti risultati. Controlla il loro certificato del sito e assicurati che sia firmato da Google Internet Authority G2 . Altrimenti, qualcuno ha aggiunto un nuovo certificato di root al tuo computer e sta dirottando il tuo traffico.
Deltik,
Potresti essere su qualcosa qui. È stato firmato da "DO_NOT_TRUST_FiddlerRoot", quindi potrebbe non essere una coincidenza che funzioni quando il violinista sta acquisendo il traffico. i.imgur.com/b61IkYc.png Ho rimosso tutti i certificati di Fiddler usando certmgr.cfg. Il violinista è stato preso di mira? Da quando ho rimosso FiddlerRoot, non riesco ad accedere a google.com
Derek Ziemba
1
Sembra che Fiddler sia stato associato all'adware HTTPS in passato, proprio qui su Super User . Potresti voler sbarazzarti di Fiddler. Probabilmente cambia anche le tue password, una volta che sei su un computer sicuro.
Deltik,
Dopo un riavvio, posso accedere nuovamente a Google e il certificato è firmato da "Google Internet Authority G2", ma solo se Fiddler è impostato su Capture Traffic. Quando il violinista non viene acquisito o disinstallato, Google torna a utilizzare il certificato non valido. Non ho tempo di reinstallare tutto ...
Derek Ziemba,
Vari malware controllano se Fiddler è in uso e, in tal caso, smettono di svolgere le loro attività dannose al fine di tentare di nascondere le loro azioni.
EricLaw,

Risposte:

8

Alcuni malware stavano probabilmente impersonando Fiddler , come ha sottolineato lo sviluppatore originale di Fiddler, Eric Lawrence :

Vari malware controllano se Fiddler è in uso e, in tal caso, smettono di svolgere le loro attività dannose al fine di tentare di nascondere le loro azioni.

( fonte )

Fiddler è uno strumento di debug web. Non ha alcun comportamento malevolo e non viene mai installato a meno che non lo si installi personalmente utilizzando il programma di installazione scaricato da Telerik. Lo scenario qui descritto è un malware che sta tentando di evitare il rilevamento facendosi apparire come Fiddler.

( fonte )

Comportamento

Il segno più chiaro del malware è che Google Chrome non carica i siti Web HTTPS come previsto, a meno che non si utilizzi Fiddler per acquisire traffico. Fiddler non è progettato per interferire con la normale navigazione web quando non è in uso.

Affinché il malware si nasconda da solo, deve dirottare il proxy Fiddler e dimettere il traffico HTTPS con la chiave privata del certificato Fiddler. È banale modificare le impostazioni del proxy ed è possibile ottenere una copia della chiave privata dell'installazione di Fiddler .

Certificato di radice

Fiddler aveva installato un certificato di root sul tuo computer, che gli consente di inserirsi come un man-in-the-middle (MitM) per monitorare i contenuti dei dati inviati su HTTPS:

Cattura schermo da /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Al contrario, ecco come https://www.google.com/ è normalmente considerato attendibile:

Schermata della corretta catena di sicurezza di Google HTTPS

Il computer si fida del DO_NOT_TRUST_FiddlerRootcertificato perché è stato installato nel truststore dei certificati del sistema operativo.

Proxy per intercettare HTTPS

Hai indicato che HTTPS si comporta correttamente su Mozilla Firefox, che può essere configurato per utilizzare le proprie regole proxy indipendenti anziché le regole proxy del sistema operativo. Google Chrome utilizza il proxy del sistema operativo senza una semplice opzione per fare diversamente.

Passando attraverso il proxy a livello di sistema operativo di Fiddler, Fiddler può ora essere il MitM per acquisire dati HTTPS non crittografati pur servendo il sito. Fiddler recupera qualche pagina web, allora firma come "www.google.com" utilizzando il certificato che è stato attendibile in precedenza, DO_NOT_TRUST_FiddlerRoot.

In queste circostanze, il malware può assumere sia il proxy che il certificato per fornirti il ​​sito sbagliato mentre ti mostra ancora il icona lucchetto verde. Vedo che questo porta a elaborati attacchi di phishing.

Problemi di sicurezza

Correlati allo scambio di stack di sicurezza: quali rischi per la sicurezza sono posti dai fornitori di software che distribuiscono proxy di intercettazione SSL sui desktop degli utenti

Come scriveva Eric Lawrence ,

Le capacità di intercettazione HTTPS di Fiddler (giustamente) sollevano sopracciglia tra gli utenti attenti alla sicurezza.

Ecco perché Fiddler avverte delle implicazioni di sicurezza dell'intercettazione del traffico HTTPS:

Schermata di un avviso incorporato di Fiddler

Per errore dell'utente o installazione di malware, Fiddler è stato associato a vari problemi:

Sebbene Fiddler stesso non sia un programma dannoso, il suo uso improprio e incomprensioni ha portato a cattiva reputazione passata e virus che fingono di essere Fiddler .

Rimozione

Non so se il tuo computer sia stato compromesso da qualche dirottatore di Fiddler, ma hai indicato che non hai tempo di cancellare il tuo computer e reinstallarlo, quindi speriamo che i seguenti passaggi possano sbarazzarsi di Fiddler e ripristinare il comportamento sicuro del web. (Raccomanderei comunque di reinstallare e modificare le password in seguito, soprattutto se sei seriamente interessato alla sicurezza. Hai scritto che Spybot - Search & Destroy ha trovato del malware.)

Prefazione: deconfigurare il violinista

Il poster originale ha scoperto questi passaggi aggiuntivi per risolvere il suo problema con Fiddler:

Alla fine ciò che è stato risolto era: Impostazioni -> Mostra impostazioni avanzate -> Sotto rete -> Modifica impostazioni proxy -> Avanzate -> Ripristina

e

Anche in Impostazioni Fiddler ho disabilitato le opzioni che gli consentono di decrittografare il traffico HTTPS prima di disinstallare e cancellare nuovamente i certificati.

Rimuovere i certificati di root di Fiddler

  1. Premi Win+r
  2. Aperto: certmgr.msc
  3. Cerca in tutte le cartelle e rimuovi il DO_NOT_TRUST_FiddlerRootcertificato.

Disinstallare Fiddler

  1. Vai a Pannello di controllo »Programmi» Programmi e funzionalità.
  2. Disinstallare Fiddler. Una fonte afferma che Fiddler può essere chiamato "FiddlerRoot" o "BrowserSafeguard".

Cancella impostazioni proxy

Supponendo che normalmente non si utilizza un proxy diverso ...

  1. Vai a Pannello di controllo »Opzioni Internet.
  2. In Proprietà Internet, vai alla scheda "Connessioni".
  3. In "Impostazioni LAN (Local Area Network)", fai clic su "Impostazioni LAN".
  4. Cancella e deseleziona le impostazioni del proxy in questo modo: Schermata delle impostazioni della rete locale (LAN)

Rimuovi malware

Come suggerito in precedenza su Super User , dovresti provare a trovare e rimuovere il malware originale che mostrava pagine Web HTTPS modificate.

Consiglio dettagliato:
come posso rimuovere spyware, malware, adware, virus, trojan o rootkit dannosi dal mio PC?

Deltik
fonte
Grazie per il commento dettagliato. Non riesco a credere che Fiddler sia malvagio perché io e i miei colleghi lo uso quasi ogni giorno da anni. Posso credere che qualcos'altro abbia probabilmente sfruttato il certificato FiddlerRoot. Ho sempre avuto Fiddler installato e di recente non ho fatto un aggiornamento, questo problema è apparso negli ultimi giorni. Se Fiddler fosse stato malvagio, non credo che avrebbe avuto "DO_NOT_TRUST" nel nome del certificato. In definitiva ciò che è stato risolto era: Impostazioni -> Mostra impostazioni avanzate -> Sotto rete -> Modifica impostazioni proxy -> Avanzate -> Ripristina
Derek Ziemba
Inoltre certlm.msc non sembra essere disponibile in Win7. Tuttavia ho rimosso tutte le voci di certificato per Fiddler usando certmgr.msc. Anche in Impostazioni Fiddler ho disabilitato le opzioni che gli consentono di decrittografare il traffico HTTPS prima di disinstallare e cancellare nuovamente i certificati. Se modifichi il tuo post per includere questi passaggi leggermente diversi, lo contrassegnerò come risposta perché alla fine ha risolto il problema.
Derek Ziemba,
@DerekZiemba: andando solo su varie lamentele che ho trovato su Fiddler, non sapevo cosa fosse, ma ora che l'ho cercato, vedo che dovrebbe essere uno strumento legittimo. Ho cambiato la mia risposta per renderla meno accusativa e anche per inserire i fatti corretti che hai trovato.
Deltik,
2
Sei MOLTO confuso su Fiddler. Fiddler è uno strumento di debug web. Non ha alcun comportamento malevolo e non viene mai installato a meno che non lo si installi personalmente utilizzando il programma di installazione scaricato da Telerik. Lo scenario qui descritto è un malware che sta tentando di evitare il rilevamento facendosi apparire come Fiddler.
EricLaw,
Ciao @EricLaw. Sono onorato di avere il tuo commento ufficiale / autorevole. È colpa mia per essere disinformato e dare un peso indebito a Fiddler. Ho modificato la mia risposta per includere il tuo contributo. Mi dispiace per l'inconveniente. (Dopo tutto, sei abbastanza vicino da venire da me e darmi un pugno in faccia!)
Deltik,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.