Google検索は、観察されていない場合にのみハイジャックされました。デバッガーをアタッチすると通常の結果が返されます


12

これを理解することはできません。最近、私の検索結果が少し「違う」ことに気づきました。

  • グーグル検索を行ったときにサインインしていませんが、「画像」または「ビデオ」をクリックすると、サインインしたと表示されます。
  • 検索ページのサイドバーにウィキペディアの情報はありません。
  • GhosteryとuBlockを無効にすると、結果の多くは広告になります。

開発者ツールを確認することにし、ページにSyntaxErrorがあることに気づき、それをクリックすると、実際にGoogle Webアドレスを置き換えるjavascript関数が表示されます。

この問題は、Chromeでのみ発生するようです。こちらは、Firefoxと隣り合わせです。 http://i.imgur.com/7J1G9mR.png

Fiddler Web Debuggerをアタッチして、トラフィックをキャプチャして、リダイレクト先を確認できるようにしました。しかし、Webデバッガーをアタッチするとすぐにすべてがなくなり、実際の検索ページが提供されます。... Fiddlerがキャプチャしているときのページソースは完全に異なります。

以下は、それを示すgifvのスクリーンキャプチャです。それはハイジャックされたページから始まり、私はいくつかの大ざっぱな追加のJavaScriptソースファイルの周りにカーソルを回します。次に、トラフィックをキャプチャして検索結果を更新するようにFiddlerに指示します。提供されるページはまったく異なります。最後に、トラフィックキャプチャを再度無効にし、ページを更新してハイジャックされたページを表示し、Webアドレスを置換することになっている構文エラーのある機能に移動します。

http://i.imgur.com/gbWkkLp.gifv

Malwarebytesを実行しましたが、結果は得られませんでした。Spybotはいくつかのヒットを見つけましたが、それらを削除しても問題は解決しませんでした。また、Googleが提供するツールを使用してChromeを完全にリセットしました。請求書を作成するなど、別のWebプロファイルを使用すると、検索結果が表示されません。フィドラーを有効にすると、突然結果が得られます。 ここに画像の説明を入力してください


2
GoogleはHTTPSを使用して結果を提供します。サイトの証明書を確認し、Google Internet Authority G2によって署名されていることを確認してください。そうでない場合、誰かが新しいルート証明書をコンピューターに追加し、トラフィックをハイジャックしています。
デルティック16

ここに何かがあるかもしれません。「DO_NOT_TRUST_FiddlerRoot」によって署名されたため、フィドラーがトラフィックをキャプチャしているときに機能するのは偶然ではないかもしれません。i.imgur.com/b61IkYc.png certmgr.cfg を使用してすべてのFiddler証明書を削除しました。フィドラーが標的にされましたか?FiddlerRootを取り除くので、私はgoogle.comにアクセスすることはできません
デレクZiemba

1
Fiddlerは、過去にHTTPSアドウェアに関連付けられていたようです。ここでは、Super Userについて説明します。Fiddlerを削除することもできます。安全なコンピューターにアクセスしたら、おそらくパスワードも変更してください。
デルティック16

再起動後、Googleに再度アクセスできるようになり、証明書は「Google Internet Authority G2」によって署名されますが、Fiddlerがトラフィックをキャプチャするように設定されている場合のみです。フィドラーがキャプチャまたはアンインストールされていない場合、Googleは無効な証明書の使用に戻ります。私は...すべてを再インストールする時間がない
デレクZiemba

さまざまなマルウェアがFiddlerが使用されているかどうかをチェックし、使用されている場合は、アクションを隠そうとするために悪意のある活動を停止します。
EricLaw

回答:


8

Fiddlerの元の開発者であるEric Lawrenceが指摘したように、いくつかのマルウェアはおそらくFiddlerになりすましていました。

さまざまなマルウェアがFiddlerが使用されているかどうかをチェックし、使用されている場合は、アクションを隠そうとするために悪意のある活動を停止します。

ソース

FiddlerはWebデバッグツールです。悪意のある動作は一切なく、Telerikからダウンロードしたインストーラーを使用して個人的にインストールしない限り、インストールされることはありません。ここで説明するシナリオは、Fiddlerのように見えるようにすることで検出を回避しようとするマルウェアです。

ソース


動作

マルウェアの最も明確な兆候は、トラフィックをキャプチャするためにFiddlerを使用していない限り、Google ChromeはHTTPS Webサイトを意図したとおりにロードしないことです。Fiddlerは、使用されていないときに通常のWebブラウジングを妨げるようには設計されていません。

マルウェアが自身を隠すには、Fiddlerプロキシをハイジャックし、Fiddler証明書の秘密キーでHTTPSトラフィックに再署名する必要があります。プロキシ設定変更するのは簡単で、Fiddlerインストールの秘密鍵のコピー取得することは可能です。

ルート証明書

Fiddlerにコンピューターにルート証明書をインストールしてもらいました。これにより、自身を中間者(MitM)として挿入して、HTTPS経由で送信されるデータコンテンツを監視できます。

/superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394のスクリーンショット

対照的に、https//www.google.com/が通常どのように信頼されるかは次のとおりです。

適切なGoogle HTTPSセキュリティチェーンのスクリーンショット

お使いのコンピューターは、DO_NOT_TRUST_FiddlerRootオペレーティングシステムの証明書信頼ストアにインストールされているため、証明書を信頼します。

HTTPSをインターセプトするプロキシ

Mozilla FirefoxでHTTPSが適切に動作することを示しました。MozillaFirefoxは、オペレーティングシステムのプロキシルールではなく、独自の独立したプロキシルールを使用するように構成できます。Google Chromeは、オペレーティングシステムプロキシを使用します。それ以外の場合、簡単なオプションはありません。

Fiddlerのオペレーティングシステムレベルのプロキシを通過すると、Fiddlerは、サイトを提供しながら暗号化されていないHTTPSデータをキャプチャするMitMになります。FiddlerはいくつかのWebページを取得し、以前に信頼された証明書を使用して「www.google.com」として署名しDO_NOT_TRUST_FiddlerRootます。

このような状況では、マルウェアはプロキシと証明書の両方を引き継いで、間違ったサイトにフィードを送りながら、緑の鍵のアイコン。これが手の込んだフィッシング攻撃につながることがわかります。

セキュリティ上の懸念

Security Stack Exchangeに関連:ユーザーデスクトップにSSLインターセプトプロキシを展開しているソフトウェアベンダーがもたらすセキュリティリスク

エリック・ローレンスがかつて書きました

FiddlerのHTTPSインターセプト機能は(正しく)セキュリティに敏感なユーザーの間で眉をひそめます。

そのため、FiddlerはHTTPSトラフィックを傍受することのセキュリティへの影響について警告しています。

Fiddlerの組み込み警告のスクリーンショット

ユーザーエラーまたはマルウェアのインストールにより、Fiddlerはさまざまな問題に関連付けられています。

Fiddler自体は有害なプログラムではありませんが、その誤用と誤解は過去の悪い評判Fiddlerのふりをするウイルスにつながりました。


除去

コンピューターがFiddlerハイジャッカーによって侵害されているかどうかはわかりませんが、コンピューターを消去して再インストールする時間がないことを示したので、次の手順でFiddlerを削除し、適切な安全なWeb動作を復元できることを願っています。(特にセキュリティに真剣に取り組んでいる場合は、後でパスワードを再インストールして変更することをお勧めします。Spybot– Search&Destroyはマルウェアを発見したと書きました。)

はじめに:フィドラーの構成解除

元のポスターは、Fiddlerの問題を解決するために、次の追加手順を発見しました。

最終的に修正されたのは、設定->詳細設定を表示->ネットワーク下->プロキシ設定の変更->詳細->リセット

そして

また、Fiddlerの設定で、証明書をアンインストールして再クリアする前にHTTPSトラフィックを復号化できるオプションを無効にしました。

Fiddlerのルート証明書を削除する

  1. Win+を押すr
  2. 開いた: certmgr.msc
  3. すべてのフォルダーを調べて、DO_NOT_TRUST_FiddlerRoot証明書を削除します。

Fiddlerをアンインストールします

  1. [コントロールパネル]»[プログラム]»[プログラムと機能]に移動します。
  2. Fiddlerをアンインストールします。 ある情報源によると、Fiddlerは「FiddlerRoot」または「BrowserSafeguard」と呼ばれる場合があります。

プロキシ設定をクリア

通常、別のプロキシを使用しないと仮定して…

  1. [コントロールパネル]»[インターネットオプション]に移動します。
  2. [インターネットのプロパティ]で、[接続]タブに移動します。
  3. 「ローカルエリアネットワーク(LAN)設定」で、「LAN設定」をクリックします。
  4. 次のようにプロキシ設定をクリアしてチェックを外します。 ローカルエリアネットワーク(LAN)設定のスクリーンショット

マルウェアを削除する

スーパーユーザーに以前に提案し、あなたはHTTPS Webページを変更し表示された元のマルウェアを見つけて削除しようとすべきです。

詳細なアドバイス:
悪意のあるスパイウェア、マルウェア、アドウェア、ウイルス、トロイの木馬、またはルートキットをPCから削除するにはどうすればよいですか?


詳細な説明をありがとう。私の同僚と私は何年もの間ほとんど毎日それを使用するので、私はフィドラーが不名誉であると自分自身を信じさせることができません。他の何かがFiddlerRoot証明書を利用した可能性があると信じることができます。私は常にFiddlerをインストールしており、最近はアップグレードしませんでした。この問題はここ数日で発生しました。Fiddlerが悪意を持っていた場合、証明書名に「DO_NOT_TRUST」が含まれていたとは思いません。最終的に何がそれがあった固定:[設定] - > [詳細設定を表示- >ネットワークの下で- >変更プロキシ設定- >詳細設定- >リセット
デレクZiemba

また、certlm.mscはWin7では使用できないようです。ただし、certmgr.mscを使用してFiddlerのすべての証明書エントリを削除しました。また、Fiddlerの設定で、証明書をアンインストールして再クリアする前にHTTPSトラフィックを復号化できるオプションを無効にしました。投稿を編集してこれらのわずかに異なる手順を含めると、最終的に問題が修正されたため、これを回答としてマークします。
デレクツィンバ

@DerekZiemba:Fiddlerについて私が見つけたさまざまな苦情だけを聞いて、私はそれが何であるかを知りませんでしたが、今私はそれを調べたので、私はそれが合法的なツールであると思われます。私は答えを変更して、非難を減らし、あなたが見つけた修正された事実を入れるようにしました。
デルティック16

2
あなたはしているVERYフィドラーについて混乱します。FiddlerはWebデバッグツールです。悪意のある動作は一切なく、Telerikからダウンロードしたインストーラーを使用して個人的にインストールしない限り、インストールされることはありません。ここで説明するシナリオは、Fiddlerのように見えるようにすることで検出を回避しようとするマルウェアです。
EricLaw

こんにちは、@ EricLaw。あなたの公式/権威ある論評をいただいて光栄です。知らされず、Fiddlerに対して過度の重みを与えるのは私のせいです。回答を編集して、入力を含めました。ご不便をおかけして申し訳ありません。(結局のところ、あなたは私に
近づい
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.