安全研究人员发现一个具备新式攻击手法的RAT程序,能修改浏览器组件而拦截加密HTTPS流量,达到监视上网行动的目的。
HTTPS的安全性存在于浏览器和网站之间的信息交换,以加密防护使第三方不得访问。卡巴斯基研究人员4月发现一只被称为Reductor的远程访问木马(RAT)程序,则是用来突破这段防护。
Reductor包含两阶段攻击面向。第一是利用名为COMPfun恶意程序下载软件模块到受害系统上,COMPfun和俄罗斯APT黑客组织Turla有关。攻击第二阶段则发生在当受害PC从其他合法网站下载软件过程中。研究人员相信攻击者有能力在合法软件下载途中加入恶意组件,以致于抵达PC时已带有恶意程序。因此研究人员认为Reductor背后的黑客组织,已经可控制受害者的网络信道。
当Reductor植入受害系统时,能变造已安装的数字凭证、并修改PC浏览器(包括Chrome或Firefox)的“伪随机数生成器”(pseudo-random number generation,PRNG)组件。PRNG用途是在浏览器和HTTPS网站进行TLS握手时,产生乱数以便加密主机和用户端间的流量。
研究人员指出,这也是Reductor厉害之处,因为他们完全没有动到网络封包,而是分析Firefox程序代码及Chrome的二进制码,在行程内存中加上相应的PRNG函数,对每道HTTPS流量加上独特软、硬件识别码,这个过程被称为patch。当浏览器被patch之后,PRNG产生的数值变得不那么随机,黑客就得以接收及识别所有从浏览器访问的信息和行为。过程中受害者无从发现,让攻击者得以长期监控而不被发现。
研究人员表示这类对浏览器加密动手脚的攻击手法也是现所首见,虽然他们尚无法断定Reductor背后攻击者身份,但以其技术之高明判断,应该也是国家支持的黑客组织所为。研究人员呼吁所有企业小心为上,确保敏感数据的安全性。