SearchPageInstaller是什么

SearchPageInstaller是什么

这篇文章将为大家详细讲解有关SearchPageInstaller是什么，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。

SearchPageInstaller（SPI）是一款恶意广告软件，它从2017年就已经开始活跃了，不过在研究人员检测到的最新样本中，我们发现它开始使用mitmproxy了，而且这个版本已经是好几个月之前的版本了：

这款恶意软件使用了一种新型的方法来通过广告赚取收益，普通的恶意广告软件主要使用的是重定向浏览器页面的方式，但SPI会向用户搜索结果页面的HTML代码顶部注入恶意广告。首先，攻击者需要在受感染主机中启用HTTP和HTTPS代理，系统设置中网络管理面板的代理标签页配置就是证据：

然后在命令行界面通过命令system_profiler SPNetworkDataType | grep 'Proxy Enabled'来启用配置：

在对受SearchPageInstaller感染的Web页面代码进行审计之后，我们可以看到SPI注入的恶意代码，这里它会替换掉其他所有的广告：

脚本源来自于chaumonttechnology.com，VirusTotal的两个检测引擎都已经将该主机标记为了恶意主机：

中间人攻击

关于Web代理，SPI使用了mitmproxy（一款开源的HTTPS代理工具）和脚本inject.py来向Web页面的代码注入恶意脚本代码：

这是因为mitmproxy能够在客户端与服务器端之间以“中间人”的形式来工作，然后通过创建伪造的证书来让客户端以为它就是服务器，让服务器以为它就是客户端。当用户不小心输入了管理密码之后，SPI的代码将会自动安装mitmproxy CA证书，下面是我们在macOS 10.14 Mojave上检测到的攻击场景：

授权之后，mitmproxy CA证书以及其他所需的证书都可以通过中间人攻击来捕捉到，并且会全部写入到隐藏的~/mitmproxy目录中：

恶意软件检测

正如我们所看到的那样，SearchPageInstaller启动之后，它首先会尝试获取安装新证书的权限。接下来，它会尝试修改目标主机上的网络代理设置，这个操作需要管理员权限，因此它会弹出另一个认证请求窗口：

下面给出的是整个攻击的实现过程，我们可以看到恶意软件创建的每一个进程以及对应的生成事件：

右侧面板的放大视图可以查看当前选定的事件，比如说我们这里选中的就是mitmdump代码执行情况[20]，它是mitmproxy提供的命令行工具。

Mitmdump工具可以查看、记录和发送HTTP流量。我们可以看到进程调用inject.py脚本并向其提供参数。这些命令可以让mitmproxy在通过HTTPS连接时忽略那些能够匹配正则表达式的特定域名，这样可以绕开那些采用了证书绑定保护机制的特定流量。

接下来，Mitmdump进程会生成一个shell进程[23]，并调用uname工具[21]来获取目标设备的架构信息。

下面给出的是每一个进程的网络通信流量：

这样一来，当攻击者拿到了目标设备的基础配置之后，就可以在感染完成或攻击结束之后将目标设备还原为之前的配置。

关于“SearchPageInstaller是什么”这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，使各位可以学到更多知识，如果觉得文章不错，请把它分享出去让更多的人看到。

[微信提示：高防服务器能助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。

[图文来源于网络，不代表本站立场，如有侵权，请联系高防服务器网删除]
[