Photo by Fabio Lanari - Internet1.jpg by Rock1997 modified., CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=20995390

安全研究人員發現一個具備新式攻擊手法的RAT程式,能修改瀏覽器元件而攔截加密HTTPS流量,達到監視上網行動的目的。

HTTPS的安全性存在於瀏覽器和網站之間的資訊交換,以加密防護使第三方不得存取。卡巴斯基研究人員4月發現一隻被稱為Reductor的遠端存取木馬(RAT)程式,則是用來突破這段防護。

Reductor包含兩階段攻擊面向。第一是利用名為COMPfun惡意程式下載軟體模組到受害系統上,COMPfun和俄羅斯APT駭客組織Turla有關。攻擊第二階段則發生在當受害PC從其他合法網站下載軟體過程中。研究人員相信攻擊者有能力在合法軟體下載途中加入惡意元件,以致於抵達PC時已帶有惡意程式。因此研究人員認為Reductor背後的駭客組織,已經可控制受害者的網路通道。

當Reductor植入受害系統時,能變造已安裝的數位憑證、並修改PC瀏覽器(包括Chrome或Firefox)的「偽隨機數生成器」(pseudo-random number generation,PRNG)元件。PRNG用途是在瀏覽器和HTTPS網站進行TLS交握時,產生亂數以便加密主機和用戶端間的流量。

研究人員指出,這也是Reductor厲害之處,因為他們完全沒有動到網路封包,而是分析Firefox程式碼及Chrome的二進位碼,在行程記憶體中加上相應的PRNG函式,對每道HTTPS流量加上獨特軟、硬體辨識碼,這個過程被稱為patch。當瀏覽器被patch之後,PRNG產生的數值變得不那麼隨機,駭客就得以接收及辨識所有從瀏覽器存取的資訊和行為。過程中受害者無從察覺,讓攻擊者得以長期監控而不被發現。

研究人員表示這類對瀏覽器加密動手腳的攻擊手法也是現所首見,雖然他們尚無法斷定Reductor背後攻擊者身份,但以其技術之高明判斷,應該也是國家支持的駭客組織所為。研究人員呼籲所有企業小心為上,確保敏感資料的安全性。


Advertisement

更多 iThome相關內容