Pencarian Google dibajak hanya ketika tidak diamati. Melampirkan debugger mengembalikan hasil normal

12

Saya tidak tahu yang ini. Saya perhatikan hasil pencarian saya sedikit "berbeda" akhir-akhir ini.

  • Saya tidak masuk ketika saya melakukan pencarian google, tetapi jika saya mengklik "Gambar" atau "Video" saya ditampilkan sebagai masuk.
  • Tidak ada informasi wikipedia di sidebar halaman pencarian.
  • Jika saya menonaktifkan Ghostery dan uBlock, banyak hasilnya adalah iklan.

Saya memutuskan untuk memeriksa alat pengembang dan melihat ada SyntaxError di halaman, saya mengkliknya dan itu benar-benar mengarah ke fungsi javascript yang menggantikan alamat web google.

Masalahnya tampaknya hanya terjadi di Chrome, di sini adalah berdampingan dengan firefox: http://i.imgur.com/7J1G9mR.png

Saya mencoba melampirkan Fiddler Web Debugger untuk menangkap lalu lintas sehingga saya bisa melihat di mana saya diarahkan. Tapi begitu saya lampirkan web debugger semuanya hilang dan saya melayani halaman pencarian yang sebenarnya .... Sumber halaman ketika menangkap Fiddler benar-benar berbeda.

Di bawah ini adalah gifv tangkapan layar yang menunjukkannya. Ini dimulai dengan halaman yang dibajak dan saya melingkari kursor saya di sekitar beberapa file sumber javascript tambahan samar. Saya kemudian memberi tahu Fiddler untuk menangkap lalu lintas dan menyegarkan hasil pencarian saya. Halaman yang saya sajikan sama sekali berbeda. Akhirnya saya menonaktifkan penangkapan lalu lintas lagi dan menyegarkan halaman untuk menampilkan halaman yang dibajak dan membawa Anda ke fungsi dengan kesalahan sintaks yang seharusnya menggantikan alamat web.

http://i.imgur.com/gbWkkLp.gifv

Saya menjalankan Malwarebytes dan tidak mendapatkan hasil. Spybot datang dengan beberapa hit tetapi menghapusnya tidak memperbaiki masalah. Saya juga telah sepenuhnya menyetel ulang chrome menggunakan alat yang disediakan Google. Jika saya menggunakan profil web yang berbeda, seperti yang saya lakukan dengan tagihan saya, saya tidak mendapatkan hasil pencarian. Jika saya mengaktifkan fiddler, tiba-tiba saya mendapatkan hasil. masukkan deskripsi gambar di sini

Derek Ziemba
sumber
2
Google menggunakan HTTPS untuk melayani hasil Anda. Periksa sertifikat situs mereka dan pastikan bahwa itu ditandatangani oleh Google Internet Authority G2 . Jika tidak, seseorang telah menambahkan sertifikat root baru ke komputer Anda dan membajak traffic Anda.
Deltik
Anda mungkin ke sesuatu di sini. Itu ditandatangani oleh "DO_NOT_TRUST_FiddlerRoot", jadi itu mungkin bukan kebetulan bahwa itu berfungsi ketika fiddler menangkap lalu lintas. i.imgur.com/b61IkYc.png Saya menghapus semua Sertifikat Fiddler menggunakan certmgr.cfg. Apakah fiddler ditargetkan? Sejak menghapus FiddlerRoot, saya tidak dapat mengakses google.com
Derek Ziemba
1
Sepertinya Fiddler telah dikaitkan dengan adware HTTPS di masa lalu, di sini di Super User . Anda mungkin ingin menyingkirkan Fiddler. Mungkin juga mengubah kata sandi Anda, begitu Anda berada di komputer yang aman.
Deltik
Setelah dimulai ulang, saya dapat mengakses Google lagi dan sertifikat ditandatangani oleh "Google Internet Authority G2", tetapi hanya jika saya memiliki Fiddler diatur ke Capture Traffic. Ketika fiddler tidak menangkap atau menghapus instalan, Google kembali menggunakan sertifikat yang tidak valid. Saya tidak punya waktu untuk menginstal ulang semuanya ...
Derek Ziemba
Berbagai potongan malware memeriksa apakah Fiddler sedang digunakan, dan jika demikian, mereka berhenti melakukan kegiatan jahat mereka untuk berusaha menyembunyikan tindakan mereka.
EricLaw

Jawaban:

8

Beberapa malware mungkin meniru Fiddler , seperti yang dikatakan oleh pengembang asli Fiddler, Eric Lawrence :

Berbagai potongan malware memeriksa apakah Fiddler sedang digunakan, dan jika demikian, mereka berhenti melakukan kegiatan jahat mereka untuk berusaha menyembunyikan tindakan mereka.

( sumber )

Fiddler adalah alat debugging web. Sama sekali tidak memiliki perilaku jahat, dan itu tidak pernah diinstal kecuali Anda secara pribadi menginstalnya menggunakan installer yang diunduh dari Telerik. Skenario yang dijelaskan di sini adalah bagian dari malware yang berusaha menghindari deteksi dengan membuat dirinya tampak seperti Fiddler.

( sumber )


Tingkah laku

Tanda paling jelas dari malware adalah bahwa Google Chrome tidak memuat situs web HTTPS sebagaimana dimaksud kecuali Anda menggunakan Fiddler untuk menangkap lalu lintas. Fiddler tidak dirancang untuk mengganggu penelusuran web normal Anda saat tidak digunakan.

Agar malware dapat menyembunyikan diri, malware harus membajak proxy Fiddler dan mengundurkan lalu lintas HTTPS dengan kunci pribadi sertifikat Fiddler. Sangat mudah untuk mengubah pengaturan proxy , dan dimungkinkan untuk mendapatkan salinan kunci pribadi instalasi Fiddler Anda .

Sertifikat Root

Anda meminta Fiddler memasang sertifikat root di komputer Anda, yang memungkinkannya memasukkan dirinya sebagai man-in-the-middle (MitM) untuk memantau konten data yang dikirim melalui HTTPS:

Tangkapan layar dari /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Sebaliknya, inilah cara https://www.google.com/ dipercaya secara normal:

Cuplikan layar rantai keamanan Google HTTPS yang tepat

Komputer Anda mempercayai DO_NOT_TRUST_FiddlerRootsertifikat karena diinstal ke toko perwalian sertifikat sistem operasi Anda.

Proxy ke Intercept HTTPS

Anda menunjukkan bahwa HTTPS berperilaku baik di Mozilla Firefox, yang dapat dikonfigurasikan untuk menggunakan aturan proksi independennya sendiri daripada aturan proksi sistem operasi. Google Chrome menggunakan proxy sistem operasi tanpa opsi yang mudah untuk melakukan sebaliknya.

Melalui proxy tingkat sistem operasi Fiddler, Fiddler sekarang dapat menjadi MitM untuk menangkap data HTTPS yang tidak terenkripsi saat masih melayani situs. Fiddler mengambil beberapa halaman web, lalu menandatanganinya sebagai "www.google.com" menggunakan sertifikat yang dipercaya sebelumnya DO_NOT_TRUST_FiddlerRoot,.

Dalam keadaan ini, malware dapat mengambil alih proksi dan sertifikat untuk memberi Anda situs yang salah sambil tetap menunjukkan kepada Anda ikon kunci hijau. Saya bisa melihat ini mengarah ke serangan phishing yang rumit.

Perhatian pada keamanan

Terkait dengan Security Stack Exchange: Apa risiko keamanan yang ditimbulkan oleh vendor perangkat lunak yang menggunakan proxy SSL Intercepting di desktop pengguna

Seperti yang pernah ditulis Eric Lawrence ,

Kemampuan intersepsi HTTPS Fiddler (benar) meningkatkan alis di antara pengguna yang sadar akan keamanan.

Itu sebabnya Fiddler memperingatkan tentang implikasi keamanan dari penyadapan lalu lintas HTTPS:

Cuplikan layar peringatan bawaan Fiddler

Karena kesalahan pengguna atau pemasangan malware, Fiddler telah dikaitkan dengan berbagai masalah:

Meskipun Fiddler sendiri bukan program yang berbahaya, penyalahgunaan dan kesalahpahamannya menyebabkan reputasi buruk di masa lalu dan virus yang berpura-pura menjadi Fiddler .


Pemindahan

Saya tidak tahu apakah komputer Anda telah disusupi oleh beberapa pembajak Fiddler, tetapi Anda mengindikasikan bahwa Anda tidak punya waktu untuk menghapus komputer Anda dan menginstal ulang, jadi semoga langkah-langkah berikut ini dapat menyingkirkan Fiddler dan mengembalikan perilaku web aman yang layak. (Saya masih akan merekomendasikan menginstal ulang dan mengubah kata sandi Anda setelah itu, terutama jika Anda serius tentang keamanan. Anda menulis bahwa Spybot - Search & Destroy menemukan beberapa malware.)

Kata Pengantar: Non-konfigurasi Fiddler

Poster asli menemukan langkah-langkah tambahan ini untuk menyelesaikan masalahnya dengan Fiddler:

Pada akhirnya apa yang diperbaiki adalah: Pengaturan -> Tampilkan pengaturan lanjutan -> Di bawah jaringan -> Ubah Pengaturan Proxy -> Lanjutan -> Reset

dan

Juga dalam Pengaturan Fiddler, saya menonaktifkan opsi yang memungkinkannya mendekripsi lalu lintas HTTPS sebelum mencopot dan membersihkan kembali sertifikat.

Hapus Sertifikat Root Fiddler

  1. Tekan Win+r
  2. Buka: certmgr.msc
  3. Lihat semua folder dan hapus DO_NOT_TRUST_FiddlerRootsertifikat.

Hapus instalan Fiddler

  1. Pergi ke Control Panel »Program» Program dan Fitur.
  2. Hapus instalan Fiddler. Satu sumber mengatakan bahwa Fiddler dapat disebut "FiddlerRoot" atau "BrowserSafeguard".

Bersihkan Pengaturan Proxy

Dengan asumsi bahwa Anda biasanya tidak menggunakan proxy yang berbeda ...

  1. Pergi ke Control Panel »Opsi Internet.
  2. Di Internet Properties, buka tab "Connections".
  3. Di bawah "Pengaturan Jaringan Area Lokal", klik "Pengaturan LAN".
  4. Hapus dan hapus centang pengaturan proxy Anda seperti: Cuplikan layar Pengaturan Jaringan Area Lokal (LAN)

Hapus Malware

Seperti yang disarankan sebelumnya pada Pengguna Super , Anda harus mencoba menemukan dan menghapus malware asli yang menampilkan halaman web HTTPS yang dimodifikasi.

Saran terperinci:
Bagaimana saya bisa menghapus spyware, malware, adware, virus, trojan, atau rootkit berbahaya dari PC saya?

Deltik
sumber
Terima kasih untuk luncuran lengkap. Saya tidak dapat meyakinkan diri saya bahwa Fiddler jahat karena rekan kerja saya dan saya menggunakannya hampir setiap hari selama bertahun-tahun. Saya percaya ada hal lain yang mengambil keuntungan dari Sertifikat FiddlerRoot. Saya selalu menginstal Fiddler dan tidak baru-baru ini melakukan peningkatan, masalah ini muncul dalam beberapa hari terakhir. Jika Fiddler jahat, saya tidak berpikir itu akan memiliki "DO_NOT_TRUST" di nama sertifikat. Pada akhirnya yang diperbaiki adalah: Pengaturan -> Tampilkan pengaturan lanjutan -> Di bawah jaringan -> Ubah Pengaturan Proxy -> Lanjutan -> Atur Ulang
Derek Ziemba
Juga certlm.msc tampaknya tidak tersedia di Win7. Namun saya memang menghapus semua entri sertifikat untuk Fiddler menggunakan certmgr.msc. Juga dalam Pengaturan Fiddler, saya menonaktifkan opsi yang memungkinkannya mendekripsi lalu lintas HTTPS sebelum mencopot dan membersihkan kembali sertifikat. Jika Anda mengedit posting Anda untuk memasukkan langkah-langkah yang sedikit berbeda ini saya akan menandai ini sebagai jawaban karena pada akhirnya memperbaiki masalah.
Derek Ziemba
@DerekZiemba: Hanya membahas berbagai keluhan yang saya temukan tentang Fiddler, saya tidak tahu apa itu, tetapi sekarang saya telah mencarinya, saya melihat itu seharusnya menjadi alat yang sah. Saya telah mengubah jawaban saya untuk membuatnya kurang menuduh dan juga untuk memasukkan fakta-fakta yang Anda temukan.
Deltik
2
Anda SANGAT bingung tentang Fiddler. Fiddler adalah alat debugging web. Sama sekali tidak memiliki perilaku jahat, dan tidak pernah diinstal kecuali jika Anda menginstalnya secara pribadi menggunakan pengunduh yang diunduh dari Telerik. Skenario yang dijelaskan di sini adalah bagian dari malware yang berusaha menghindari deteksi dengan membuat dirinya tampak seperti Fiddler.
EricLaw
Halo @EricLaw. Saya merasa terhormat memiliki komentar resmi / otoritatif Anda. Ini salah saya karena tidak mendapat informasi dan memberikan bobot yang tidak semestinya terhadap Fiddler. Saya telah mengedit jawaban saya untuk memasukkan masukan Anda. Saya minta maaf tentang ketidaknyamanan ini. (Lagi pula, Anda cukup dekat untuk berjalan ke arah saya dan meninju wajah saya!)
Deltik