中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當前的位置是:  首頁 > 資訊 > 國際 >
 首頁 > 資訊 > 國際 >

疑似俄國黑客發(fā)展新RAT,可突破HTTPS加密追蹤上網(wǎng)行蹤

2019-10-08 16:16:52   作者:   來源:CTI論壇   評論:0  點擊:


  安全研究人員發(fā)現(xiàn)一個具備新式攻擊手法的RAT程式,能修改瀏覽器元件而攔截加密HTTPS流量,達到監(jiān)視上網(wǎng)行動的目的。
  HTTPS的安全性存在於瀏覽器和網(wǎng)站之間的資訊交換,以加密防護使第三方不得存取?ò退够芯咳藛T4月發(fā)現(xiàn)一只被稱為Reductor的遠端存取木馬(RAT)程式,則是用來突破這段防護。
  Reductor包含兩階段攻擊面向。第一是利用名為COMPfun惡意程式下載軟件模組到受害系統(tǒng)上,COMPfun和俄羅斯APT黑客組織Turla有關。攻擊第二階段則發(fā)生在當受害PC從其他合法網(wǎng)站下載軟件過程中。研究人員相信攻擊者有能力在合法軟件下載途中加入惡意元件,以致於抵達PC時已帶有惡意程式。因此研究人員認為Reductor背後的黑客組織,已經(jīng)可控制受害者的網(wǎng)絡 通道。
  當Reductor植入受害系統(tǒng)時,能變造已安裝的數(shù)位憑證、并修改PC瀏覽器(包括Chrome或Firefox)的「偽隨機數(shù)生成器」(pseudo-random number generation,PRNG)元件。PRNG用途是在瀏覽器和HTTPS網(wǎng)站進行TLS交握時,產(chǎn)生亂數(shù)以便加密主機和用戶端間的流量。
  研究人員指出,這也是Reductor厲害之處,因為他們完全沒有動到網(wǎng)絡 封包,而是分析Firefox程式碼及Chrome的二進位碼,在行程記憶體中加上相應的PRNG函式,對每道HTTPS流量加上獨特軟、硬件辨識碼,這個過程被稱為patch。當瀏覽器被patch之後,PRNG產(chǎn)生的數(shù)值變得不那麼隨機,黑客就得以接收及辨識所有從瀏覽器存取的資訊和行為。過程中受害者無從察覺,讓攻擊者得以長期監(jiān)控而不被發(fā)現(xiàn)。
  研究人員表示這類對瀏覽器加密動手腳的攻擊手法也是現(xiàn)所首見,雖然他們尚無法斷定Reductor背後攻擊者身份,但以其技術之高明判斷,應該也是國家支持的黑客組織所為。研究人員呼吁所有企業(yè)小心為上,確保敏感資料的安全性。
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)