研究人员发现了一种使用开源mitmproxy拦截流量并注入广告的SPI恶意软件。恶意软件作者不断寻找新的方法来避免被发现并增加收入。本文介绍了macOS系统中使用的新技术。 新技术 SearchPageInstaller(SPI)是一种出现在2017年的广告恶意软件,但最近的报告实际上是第一次使用mitmproxy。 恶意软件使用一种新方法来利用广告收入。通常,恶意软件会将用户重定向到目标页面,并且SPI会将广告注入用户搜索返回的html中。为此,您需要在受害者的计算机上启用HTTP和HTTPS代理,可以在“系统设置”的“网络代理”选项中进行设置:
它也可以通过命令实现: System_profiler SPNetworkDataType | grep '代理 已启用': SearchPageInstaller拦截页面描述脚本,将广告注入搜索页面结果的顶部,替换其他广告: 该脚本来自chaumonttechnology.com,已被VirusTotal的两个引擎识别为恶意: MIMT 对于Web代理,SPI使用开源HTTPS代理mitmproxy将脚本注入到网页的正文部分,使用inject.py脚本: Mitmproxy充当服务器和客户端之间的中间人,创建重复的证书以说服服务器它是客户端并且客户端认为它是服务器。 用户提交所需密码后,将使用mitmproxy CA证书手动安装SPI二进制文件。以下是在macOS 10.14 Mojave上检测到的攻击: 如果获得授权,则可以使用mitmproxy CA证书和其他所需凭据将中间人攻击写入隐形文件夹〜/.mitmproxy。 发现 SearchPageInstaller启动后,它将首先尝试获得安装新证书的权限。然后修改网络代理设置,此步骤需要管理员同意,因此将出现身份验证请求。 SPI的行为将立即触发SentinelOne的响应: 恶意软件继续执行,您可以看到整个攻击过程,包括恶意软件进程和所有事件的创建: 右侧面板表示所选事件。 Mitmdump是mitmproxy提供的命令行工具。 Mitmdump工具可以查看,记录和转换HTTP流量。您可以看到该进程调用inject.py脚本和提供的参数。这意味着mitmproxy代理在进行htpps连接时会忽略特定域名的常规匹配,这可能是为了避免由证书锁定保护引起的错误。 然后,mitmdump进程复制一个调用uname工具的shell进程,以检索机器体系结构信息。
总结一下 SPI的行为似乎是一种低风险的恶意广告活动,但它操纵铭文http和加密流量的能力确实是一个问题。但是反病毒软件可能会将mitmproxy列入白名单,因此它本质上是一种非恶意的开发工具。 https://www.sentinelone.com/blog/inside-searchpageinstaller-macos-malware-deploys-mitm-attack/