惡意軟件開發(fā)者一直在尋找新的方法來避免被檢測(cè)到，以此來攫取更高的利潤(rùn)，下面我們將介紹一個(gè)最近發(fā)現(xiàn)的案例。
最近，我們仔細(xì)研究了SPI惡意廣告軟件，它利用開源mitmproxy攔截流量并注入廣告， mitmproxy是一款http代理工具，即可用于中間人攻擊，也可用于html抓包調(diào)試。
SearchPageInstaller廣告軟件
SearchPageInstaller（SPI）是一個(gè)至少?gòu)?017年以來，就開始活躍的廣告軟件。根據(jù)我們的研究，它也是第一次使用mitmproxy的。不過，早在2017年12月mac360.com上的一個(gè)帖子中，就有人注意到這種聯(lián)系了，并且通過對(duì)一些代碼組件的分析表明，這種惡意軟件可能是在幾個(gè)月前開發(fā)的，可能是在2017年8月左右開發(fā)的。

惡意軟件采用了一種新穎的方法來從廣告中獲得收入， SPI不是簡(jiǎn)單的將瀏覽器重定向到不需要的頁面，而是在用戶搜索返回的html文檔頂部插入廣告。為了實(shí)現(xiàn)這個(gè)意圖，SPI會(huì)首先在受感染的計(jì)算機(jī)上啟用HTTP和HTTPS代理，可以在“系統(tǒng)偏好設(shè)置”的的proxy選項(xiàng)卡中看到這一點(diǎn)。

在命令行上，通過 system_profiler SPNetworkDataType | grep 'Proxy Enabled'.

對(duì)一個(gè)被SearchPageInstaller截獲的網(wǎng)頁進(jìn)行檢查，我們會(huì)發(fā)現(xiàn)插入的SPI自己選擇的添加到搜索結(jié)果頂部的腳本，這樣它就可以替換任何其他廣告：

該腳本來自chaumonttechnology.com，這是一個(gè)僅被VirusTotal上的兩個(gè)檢測(cè)引擎識(shí)別為惡意的腳本。

實(shí)施中間人攻擊
對(duì)于web代理，SPI使用一個(gè)開源的HTTPS代理mitmproxy，用這個(gè)inject.py腳本將惡意腳本注入到網(wǎng)頁中。

之所以能夠這樣做，是因?yàn)閙itmproxy本質(zhì)上充當(dāng)服務(wù)器和客戶機(jī)之間的“中間人”，“動(dòng)態(tài)地”創(chuàng)建虛擬證書，以使服務(wù)器相信它是客戶端，而客戶端則認(rèn)為它是服務(wù)器。
這是在SPI二進(jìn)制文件的幫助下實(shí)現(xiàn)的，一旦用戶的登錄密碼被惡意腳本獲取，SPI就會(huì)手動(dòng)安裝mitmproxy CA證書。以下，就是我們看到在macOS 10.14 Mojave上檢測(cè)到的攻擊。

如果經(jīng)過授權(quán)，mitmproxy CA證書和其他證書將被寫入~/.mitmproxy的一個(gè)不可見文件夾中，以啟動(dòng)“中間人”攻擊。

如何檢測(cè)這種攻擊
正如我們上面所講到的那樣，當(dāng)啟動(dòng)SearchPageInstaller時(shí)，它會(huì)首先嘗試獲取安裝新證書的權(quán)限，然后嘗試更改網(wǎng)絡(luò)代理設(shè)置，不過這一操作也需要管理員批準(zhǔn)。此時(shí)，受感染的用戶就會(huì)收到一個(gè)身份驗(yàn)證請(qǐng)求。SPI的行為會(huì)立即觸發(fā)SentinelOne代理的響應(yīng)，這次是在macOS 10.12.6 Sierra安裝。

但是，為了深入調(diào)查，我們決定不阻止攻擊，而是使用SentinelOne管理控制臺(tái)的獨(dú)特EDR功能來觀察其惡意行為。在允許惡意軟件繼續(xù)執(zhí)行之后，我們可以查看到它的整個(gè)攻擊過程，了解每個(gè)惡意軟件進(jìn)程的創(chuàng)建以及所有生成的事件。

右側(cè)面板的放大視圖顯示當(dāng)前選定的事件，在本例中，惡意腳本執(zhí)行的是mitmdump binary，它是帶有mitmproxy的命令行工具。
mitmdump工具可以查看、記錄和以編程方式轉(zhuǎn)換HTTP流量。我們可以看到調(diào)用inject.py腳本和提供的參數(shù)的進(jìn)程。這些參數(shù)是在告訴mitmproxy，當(dāng)通過https連接時(shí)，忽略與給定正則表達(dá)式模式匹配的某些域，這可能是為了避免在使用證書綁定保護(hù)流量時(shí)出錯(cuò)。
然后，mitmdump進(jìn)程會(huì)繼續(xù)生成一個(gè)shell進(jìn)程，該進(jìn)程會(huì)調(diào)用uname實(shí)用程序，來獲取有關(guān)設(shè)備結(jié)構(gòu)的信息。使用SentinelOne EDR功能，我們可以檢查每個(gè)進(jìn)程的所有網(wǎng)絡(luò)流量，無論它是加密的還是純http。

一旦我們看清了惡意軟件的功能，我們就可以使用管理控制臺(tái)將計(jì)算機(jī)回滾到感染前的狀態(tài)。
總結(jié)
雖然觀察到的SPI行為似乎表明它只不過是一個(gè)風(fēng)險(xiǎn)相對(duì)較低的廣告軟件活動(dòng)，但它卻有著能夠操縱普通的http和加密流量的功能。傳統(tǒng)的殺毒軟件可能會(huì)將像mitmproxy這樣的進(jìn)程列入白名單，因?yàn)樗�是一個(gè)具有合法用途的開發(fā)工具，目前只有少數(shù)的網(wǎng)絡(luò)安全方案能夠?qū)⑵渥R(shí)別為具有真正威脅的子進(jìn)程。