大約 10 年前業(yè)界開始提倡網(wǎng)站部署 HTTPS 加密連接，度殺毒軟點(diǎn)網(wǎng)這樣可以避免網(wǎng)站或服務(wù)遭到中間人攻擊 (MitM) 而劫持流量，擊藍(lán)比如此前部分網(wǎng)絡(luò)運(yùn)營商直接在用戶訪問網(wǎng)站時(shí)插入彈窗顯示賬戶余額、長期成都武侯高級(jí)資源vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)提醒充值等就是使用通過劫持實(shí)現(xiàn)的。

藍(lán)點(diǎn)網(wǎng)大約也是協(xié)議在 10 年前部署 HTTPS 連接的，彼時(shí)還沒有免費(fèi)的被黑 HTTPS 證書，所以需要自己購買證書，客用一年期數(shù)字證書便宜的發(fā)起也得幾百塊錢，不過部署 HTTPS 后就可以大幅度降低被劫持的中間概率。

現(xiàn)在幾乎所有網(wǎng)站和服務(wù)都已經(jīng)采用加密協(xié)議連接，人攻但讓人無法理解的度殺毒軟點(diǎn)網(wǎng)是，印度本土殺毒軟件 eScan 竟然從 2019 年開始就一直使用 HTTP 明文協(xié)議來提供更新。擊藍(lán)

eScan 使用 HTTP 明文協(xié)議推送軟件更新，長期成都武侯高級(jí)資源vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)然后有黑客就發(fā)現(xiàn)了機(jī)會(huì)，使用所謂最危險(xiǎn)的協(xié)議地方就是最安全的地方，黑客在一款殺毒軟件的眼皮底下使用殺毒軟件本身的更新機(jī)制來投放病毒。

時(shí)間回到 2023 年 7 月：

捷克殺毒軟件開發(fā)商 AVAST 的研究人員注意到一款被其他研究人員稱為 GuptiMiner 的惡意軟件，該惡意軟件背后有著極其復(fù)雜的攻擊鏈路，并且還盯上了 eScan 的 HTTP 明文協(xié)議。

當(dāng) eScan 發(fā)起更新時(shí)復(fù)雜的攻擊鏈路就開始了，黑客首先執(zhí)行中間人攻擊從而攔截 eScan 發(fā)往服務(wù)器發(fā)送的請(qǐng)求數(shù)據(jù)包，接著再通過偽造的服務(wù)器返回惡意數(shù)據(jù)包，返回的數(shù)據(jù)包也是 eScan 提供的更新，只不過里面已經(jīng)被插入了 GuptiMiner 惡意軟件。

當(dāng) eScan 接到返回的數(shù)據(jù)包并執(zhí)行更新時(shí)，惡意軟件也被悄悄釋放并執(zhí)行，顯然除了使用 HTTP 明文協(xié)議外，eScan 可能還沒有對(duì)數(shù)據(jù)包進(jìn)行簽名或哈希校驗(yàn) (也可能是返回的數(shù)據(jù)包里已經(jīng)對(duì)哈希進(jìn)行了修改)。

而這家殺毒軟件至少從 2019 年開始就一直使用 HTTP 明文協(xié)議提供更新，雖然無法證明黑客是什么時(shí)候利用起來的，但劫持更新來感染設(shè)備應(yīng)該持續(xù)好幾年了。

惡意軟件的目的：

比較搞笑的是這款惡意軟件使用復(fù)雜的攻擊鏈發(fā)起攻擊，但最終目的可能是挖礦，至少 AVAST 注意到 GuptiMiner 除了安裝多個(gè)后門程序外 (這屬于常規(guī)操作)，還釋放了 XMrig，這是一款 XMR 門羅幣開源挖礦程序，可以使用 CPU 執(zhí)行挖礦。

至于其他惡意目的都屬于比較常規(guī)的，例如如果被感染的設(shè)備位于大型企業(yè)內(nèi)網(wǎng)中，則會(huì)嘗試橫向傳播感染更多設(shè)備。

如何實(shí)現(xiàn)劫持的：

這個(gè)問題 AVAST 似乎也沒搞清楚，研究人員懷疑黑客通過某種手段破壞了目標(biāo)網(wǎng)絡(luò)，從而將流量路由到惡意服務(wù)器。

AVAST 研究發(fā)現(xiàn)黑客去年放棄了使用 DNS 技術(shù)，使用一種名為 IP 掩碼的混淆技術(shù)取而代之，并且還會(huì)在被感染設(shè)備上安裝自定義的 ROOT TLS 證書，這樣就可以簽發(fā)任意證書實(shí)現(xiàn)各種連接都可以劫持。

AVAST 向印度 CERT 和 eScan 披露漏洞后，后者在 2023 年 7 月 31 日修復(fù)了漏洞，也就是換成了 HTTPS 加密協(xié)議。