SearchPageInstaller是什么

這篇文章將為大家詳細講解有關SearchPageInstaller是什么，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

SearchPageInstaller（SPI）是一款惡意廣告軟件，它從2017年就已經開始活躍了，不過在研究人員檢測到的最新樣本中，我們發現它開始使用mitmproxy了，而且這個版本已經是好幾個月之前的版本了：

這款惡意軟件使用了一種新型的方法來通過廣告賺取收益，普通的惡意廣告軟件主要使用的是重定向瀏覽器頁面的方式，但SPI會向用戶搜索結果頁面的HTML代碼頂部注入惡意廣告。首先，攻擊者需要在受感染主機中啟用HTTP和HTTPS代理，系統設置中網絡管理面板的代理標簽頁配置就是證據：

然后在命令行界面通過命令system_profiler SPNetworkDataType | grep 'Proxy Enabled'來啟用配置：

在對受SearchPageInstaller感染的Web頁面代碼進行審計之后，我們可以看到SPI注入的惡意代碼，這里它會替換掉其他所有的廣告：

腳本源來自于chaumonttechnology.com，VirusTotal的兩個檢測引擎都已經將該主機標記為了惡意主機：

中間人攻擊

關于Web代理，SPI使用了mitmproxy（一款開源的HTTPS代理工具）和腳本inject.py來向Web頁面的代碼注入惡意腳本代碼：

這是因為mitmproxy能夠在客戶端與服務器端之間以“中間人”的形式來工作，然后通過創建偽造的證書來讓客戶端以為它就是服務器，讓服務器以為它就是客戶端。當用戶不小心輸入了管理密碼之后，SPI的代碼將會自動安裝mitmproxy CA證書，下面是我們在macOS 10.14 Mojave上檢測到的攻擊場景：

授權之后，mitmproxy CA證書以及其他所需的證書都可以通過中間人攻擊來捕捉到，并且會全部寫入到隱藏的~/mitmproxy目錄中：

惡意軟件檢測

正如我們所看到的那樣，SearchPageInstaller啟動之后，它首先會嘗試獲取安裝新證書的權限。接下來，它會嘗試修改目標主機上的網絡代理設置，這個操作需要管理員權限，因此它會彈出另一個認證請求窗口：

下面給出的是整個攻擊的實現過程，我們可以看到惡意軟件創建的每一個進程以及對應的生成事件：

右側面板的放大視圖可以查看當前選定的事件，比如說我們這里選中的就是mitmdump代碼執行情況[20]，它是mitmproxy提供的命令行工具。

Mitmdump工具可以查看、記錄和發送HTTP流量。我們可以看到進程調用inject.py腳本并向其提供參數。這些命令可以讓mitmproxy在通過HTTPS連接時忽略那些能夠匹配正則表達式的特定域名，這樣可以繞開那些采用了證書綁定保護機制的特定流量。

接下來，Mitmdump進程會生成一個shell進程[23]，并調用uname工具[21]來獲取目標設備的架構信息。

下面給出的是每一個進程的網絡通信流量：

這樣一來，當攻擊者拿到了目標設備的基礎配置之后，就可以在感染完成或攻擊結束之后將目標設備還原為之前的配置。

關于“SearchPageInstaller是什么”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。