Búsqueda de Google secuestrada solo cuando no se está observando. Adjuntar un depurador devuelve resultados normales

12

No puedo entender esto. Noté que mis resultados de búsqueda eran un poco "diferentes" últimamente.

  • No inicié sesión cuando realizo una búsqueda en Google, pero si hago clic en "Imágenes" o "Videos", aparece como iniciado sesión.
  • No hay información de Wikipedia en la barra lateral de la página de búsqueda.
  • Si desactivo Ghostery y uBlock, muchos de los resultados son anuncios.

Decidí verificar las herramientas del desarrollador y noté que había un SyntaxError en la página, hice clic en él y en realidad conduce a una función de JavaScript que reemplaza la dirección web de Google.

El problema parece ocurrir solo en Chrome, aquí hay un lado a lado con firefox: http://i.imgur.com/7J1G9mR.png

Traté de adjuntar Fiddler Web Debugger para capturar el tráfico y poder ver a dónde me redirigen. Pero tan pronto como adjunto un depurador web, todo desaparece y recibo la página de búsqueda real ... La fuente de la página cuando Fiddler está capturando es completamente diferente.

A continuación se muestra un gifv de captura de pantalla que lo muestra. Comienza con la página secuestrada y hago un círculo alrededor de algunos archivos fuente javascript adicionales incompletos. Luego le digo a Fiddler que capture el tráfico y actualice mis resultados de búsqueda. La página que recibo es completamente diferente. Finalmente, deshabilito la captura de tráfico nuevamente y actualizo la página para mostrar la página secuestrada y llevarlo a la función con el error de sintaxis que se supone que reemplaza la dirección web.

http://i.imgur.com/gbWkkLp.gifv

Ejecuté Malwarebytes y no obtuve resultados. Spybot tuvo algunos golpes, pero eliminarlos no solucionó el problema. También he reiniciado completamente Chrome usando la herramienta proporcionada por Google. Si uso un perfil web diferente, como el que hago en mis facturas, no obtengo resultados de búsqueda. Si habilito Fiddler, de repente obtengo resultados. ingrese la descripción de la imagen aquí

google-chrome fiddler hijack debugger Derek Ziemba
fuente
2
Google usa HTTPS para brindarle resultados. Verifique el certificado de su sitio y asegúrese de que esté firmado por Google Internet Authority G2 . Si no, alguien ha agregado un nuevo certificado raíz a su computadora y está secuestrando su tráfico.
Deltik
Puede que tengas algo aquí. Fue firmado por "DO_NOT_TRUST_FiddlerRoot", por lo que podría no ser una coincidencia que funcione cuando el violinista está capturando tráfico. i.imgur.com/b61IkYc.png todos los certificados de Fiddler usando certmgr.cfg. ¿Fue el violinista objetivo? Desde que eliminé FiddlerRoot, no puedo acceder a google.com
Derek Ziemba
1
Parece que Fiddler se ha asociado con el adware HTTPS en el pasado, aquí mismo en Super User . Es posible que desee deshacerse de Fiddler. Probablemente también cambie sus contraseñas, una vez que esté en una computadora segura.
Deltik
Después de reiniciar, puedo acceder a Google nuevamente y el certificado está firmado por "Google Internet Authority G2", pero solo si Fiddler está configurado para Capturar tráfico. Cuando el violinista no está capturando o desinstalando, Google vuelve a usar el certificado no válido. No tengo tiempo para reinstalar todo ...
Derek Ziemba
Varias piezas de malware comprueban si Fiddler está en uso, y si es así, dejan de realizar sus actividades maliciosas para intentar ocultar sus acciones.
EricLaw

Respuestas:

8

Probablemente, algún malware se estaba haciendo pasar por Fiddler , como señaló el desarrollador original de Fiddler, Eric Lawrence :

Varias piezas de malware comprueban si Fiddler está en uso, y si es así, dejan de realizar sus actividades maliciosas para intentar ocultar sus acciones.

( fuente )

Fiddler es una herramienta de depuración web. No tiene ningún comportamiento malicioso, y nunca se instala a menos que lo instale personalmente utilizando el instalador descargado de Telerik. El escenario descrito aquí es una pieza de malware que intenta evitar la detección haciéndose parecer Fiddler.

( fuente )

Comportamiento

La señal más clara de malware es que Google Chrome no carga los sitios web HTTPS según lo previsto, a menos que esté utilizando Fiddler para capturar tráfico. Fiddler no está diseñado para interferir con su navegación web normal cuando no está en uso.

Para que el malware se oculte, necesita secuestrar el proxy Fiddler y renunciar al tráfico HTTPS con la clave privada del certificado Fiddler. Es trivial cambiar la configuración del proxy , y es posible obtener una copia de la clave privada de su instalación de Fiddler .

Certificado de raíz

Hizo que Fiddler instalara un certificado raíz en su computadora, que le permite insertarse como un hombre en el medio (MitM) para monitorear el contenido de los datos que se envían a través de HTTPS:

Captura de pantalla de /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Por el contrario, así es como normalmente se confía en https://www.google.com/ :

Captura de pantalla de la cadena de seguridad HTTPS de Google adecuada

Su computadora confía en DO_NOT_TRUST_FiddlerRoot certificado porque se instaló en el almacén de confianza de certificados de su sistema operativo.

Proxy para interceptar HTTPS

Usted indicó que HTTPS se comporta correctamente en Mozilla Firefox, que se puede configurar para usar sus propias reglas de proxy independientes en lugar de las reglas de proxy del sistema operativo. Google Chrome utiliza el proxy del sistema operativo sin una opción fácil para hacer lo contrario.

Al pasar por el proxy de nivel de sistema operativo de Fiddler, Fiddler ahora puede ser el MitM para capturar datos HTTPS sin cifrar mientras aún sirve el sitio. Fiddler busca alguna página web, luego la firma como "www.google.com" utilizando el certificado en el que se confiaba anteriormente DO_NOT_TRUST_FiddlerRoot.

En estas circunstancias, el malware puede hacerse cargo tanto del proxy como del certificado para proporcionarle el sitio incorrecto mientras sigue mostrándole el icono de candado verde. Puedo ver esto llevando a elaborados ataques de phishing.

Preocupaciones de seguridad

Relacionado con Security Stack Exchange: qué riesgos de seguridad plantean los proveedores de software que implementan proxies de interceptación SSL en los escritorios de los usuarios

Como Eric Lawrence escribió una vez :

Las capacidades de interceptación HTTPS de Fiddler (con razón) despiertan dudas entre los usuarios conscientes de la seguridad.

Es por eso que Fiddler advierte sobre las implicaciones de seguridad de interceptar el tráfico HTTPS:

Captura de pantalla de una advertencia incorporada de Fiddler

Por error del usuario o instalación de malware, Fiddler se ha asociado con varios problemas:

Aunque Fiddler en sí mismo no es un programa dañino, su mal uso y malentendidos llevaron a la mala reputación del pasado y a los virus que pretenden ser Fiddler .

Eliminación

No sé si su computadora ha sido comprometida por algún secuestrador de Fiddler, pero indicó que no tiene tiempo para limpiar su computadora y reinstalarla, por lo que esperamos que los siguientes pasos puedan deshacerse de Fiddler y restaurar el comportamiento web seguro adecuado. (Todavía recomendaría reinstalar y cambiar sus contraseñas más tarde, especialmente si se toma en serio la seguridad. Escribió que Spybot - Search & Destroy encontró algo de malware).

Prólogo: Desconfigurar Fiddler

El póster original descubrió estos pasos adicionales para resolver su problema con Fiddler:

En última instancia, lo que solucionó fue: Configuración -> Mostrar configuración avanzada -> Bajo red -> Cambiar configuración de proxy -> Avanzado -> Restablecer

y

También en la Configuración de Fiddler deshabilité las opciones que le permiten descifrar el tráfico HTTPS antes de desinstalar y volver a borrar los certificados.

Eliminar los certificados raíz de Fiddler

  1. Presione Win+r
  2. Abierto: certmgr.msc
  3. Mire a través de todas las carpetas y elimine el DO_NOT_TRUST_FiddlerRootcertificado.

Desinstalar Fiddler

  1. Vaya al Panel de control »Programas» Programas y características.
  2. Desinstalar Fiddler. Una fuente dice que Fiddler puede llamarse "FiddlerRoot" o "BrowserSafeguard".

Borrar configuraciones de proxy

Asumiendo que normalmente no usa un proxy diferente ...

  1. Vaya al Panel de control »Opciones de Internet.
  2. En Propiedades de Internet, vaya a la pestaña "Conexiones".
  3. En "Configuración de red de área local (LAN)", haga clic en "Configuración de LAN".
  4. Borre y desmarque su configuración de proxy de esta manera: Captura de pantalla de la configuración de la red de área local (LAN)

Eliminar el malware

Como se sugirió anteriormente en Super User , debe intentar encontrar y eliminar el malware original que muestra las páginas web HTTPS modificadas.

Consejos detallados:
¿Cómo puedo eliminar spyware malicioso, malware, adware, virus, troyanos o rootkits de mi PC?

Deltik
fuente
Gracias por el informe detallado. No puedo creer que Fiddler sea nefasto porque mis compañeros de trabajo y yo lo usamos casi todos los días durante años. Puedo creer que algo más posiblemente aprovechó el Certificado FiddlerRoot. Siempre he instalado Fiddler y no hice una actualización recientemente, este problema apareció en los últimos días. Si Fiddler estaba siendo nefasto, no creo que hubiera tenido "DO_NOT_TRUST" en el nombre del certificado. En última instancia, lo que solucionó fue: Configuración -> Mostrar configuración avanzada -> Bajo red -> Cambiar configuración de proxy -> Avanzado -> Restablecer
Derek Ziemba
Además, certlm.msc no parece estar disponible en Win7. Sin embargo, eliminé todas las entradas de certificado para Fiddler usando certmgr.msc. También en la Configuración de Fiddler deshabilité las opciones que le permiten descifrar el tráfico HTTPS antes de desinstalar y volver a borrar los certificados. Si edita su publicación para incluir estos pasos ligeramente diferentes, marcaré esto como la respuesta porque finalmente solucionó el problema.
Derek Ziemba
@DerekZiemba: En cuanto a varias quejas que encontré sobre Fiddler, no sabía qué era, pero ahora que lo he buscado, veo que se supone que es una herramienta legítima. He cambiado mi respuesta para que sea menos acusatorio y también para incluir los hechos corregidos que encontraste.
Deltik
2
Estás MUY confundido sobre Fiddler. Fiddler es una herramienta de depuración web. No tiene ningún comportamiento malicioso, y nunca se instala a menos que lo instale personalmente utilizando el instalador descargado de Telerik. El escenario descrito aquí es una pieza de malware que intenta evitar la detección haciéndose parecer Fiddler.
EricLaw
Hola @EricLaw. Me siento honrado de tener su comentario oficial / autorizado. Es mi culpa por estar mal informado y dar un peso indebido contra Fiddler. He editado mi respuesta para incluir su aporte. Disculpa las molestias. (¡Después de todo, estás lo suficientemente cerca como para
acercarte