emm…印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击 – 蓝点网 - {$web_name} 建议收藏备用 HTTPS 证书

大约 10 年前业界着手提倡站点部署 HTTPS 加密连接，这样可以避免站点或办事遭到中间人攻击 (MitM) 而劫持流量，比如此前若干联网管理商直接在使用者访问站点时插入弹窗显示账户余额、提醒充值等就是经由劫持做到的。

蓝点网大约也是在 10 年前部署 HTTPS 连接的，彼时还没有免费的假期深度港片经典，建议收藏备用 HTTPS 证书，所以需要自己采购证书，一年期数字证书便宜的也得几百块钱，可是部署 HTTPS 后就可以大幅度下降被劫持的概率。

如今差不多所有站点和办事都已然使用加密协议连接，但让人无法理解的是，印度本土杀毒使用 eScan 居然从 2019 年着手就一直使用 HTTP 明文协议来提供升级。

eScan 使用 HTTP 明文协议推送使用升级，夏季预测续集计划，知情人透露内情然后有黑客就察觉了机遇，所谓最危险的地方就是最可靠的地方，黑客在一款杀毒使用的眼皮底下使用杀毒使用本身的升级机制来投放病毒。

时间回到 2023 年 7 月：

捷克杀毒使用开发商 AVAST 的探究人员注意到一款被其他探究人员称为 GuptiMiner 的恶意使用，该恶意使用背后有着极其繁琐的攻击链路，并且还盯上了 eScan 的一览英伟达 HTTP 明文协议。

当 eScan 发起升级时繁琐的攻击链路就着手了，黑客先是执行中间人攻击从而拦截 eScan 发往办事器发送的请求资料包，接着再经由伪造的办事器返回恶意资料包，返回的资料包也是 eScan 提供的升级，只可是里面已然被插入了 GuptiMiner 恶意使用。

当 eScan 接到返回的成年人的友情：清醒自律知进退资料包并执行升级时，恶意使用也被悄悄释放并执行，显然除了使用 HTTP 明文协议外，eScan 或许还没有对资料包开展签名或哈希校验 (也或许是返回的资料包里已然对哈希开展了更改)。

而这家杀毒使用至少从 2019 年着手就一直使用 HTTP 明文协议提供升级，尽管无法证明黑客是什么时候运用起来的，但劫持升级来感染设备应该持续好几年了。

恶意使用的目的：

较为搞笑的是这款恶意使用使用繁琐的攻击链发起攻击，但最后目的或许是挖矿，至少 AVAST 注意到 GuptiMiner 除了部署多个后门程序外 (这归于常规操控)，还释放了 XMrig，这是一款 XMR 门罗币开源挖矿程序，可以使用 CPU 执行挖矿。

至于其他恶意目的都归于较为常规的，例如假如被感染的设备位于大型企业内网中，则会使用横向研究感染更多设备。

如何做到劫持的：

这个难题 AVAST 似乎也没搞清楚，探究人员怀疑黑客经由某种手段破坏了目标联网，从而将流量路由到恶意办事器。

AVAST 探究察觉黑客上一年舍弃了使用 DNS 技术，使用一种名为 IP 掩码的混淆技术取而代之，并且还会在被感染设备上部署自定义的 ROOT TLS 证书，这样就可以签发任意证书做到各类连接都可以劫持。

AVAST 向印度 CERT 和 eScan 透露漏洞后，后者在 2023 年 7 月 31 日修复了漏洞，也就是换成了 HTTPS 加密协议。