La recherche Google n'a été piratée que lorsqu'elle n'était pas observée. Attacher un débogueur renvoie des résultats normaux

12

Je ne peux pas comprendre celui-ci. J'ai remarqué que mes résultats de recherche étaient un peu "différents" récemment.

  • Je ne suis pas connecté lorsque je fais une recherche Google, mais si je clique sur "Images" ou "Vidéos", je suis affiché comme connecté.
  • Il n'y a pas d'informations wikipedia dans la barre latérale de la page de recherche.
  • Si je désactive Ghostery et uBlock, la plupart des résultats sont des publicités.

J'ai décidé de vérifier les outils de développement et j'ai remarqué qu'il y avait une SyntaxError dans la page, j'ai cliqué dessus et cela mène en fait à une fonction javascript qui remplace l'adresse Web de Google.

Le problème ne semble se produire que dans Chrome, voici un côte à côte avec Firefox: http://i.imgur.com/7J1G9mR.png

J'ai essayé d'attacher Fiddler Web Debugger pour capturer le trafic afin que je puisse voir où je suis redirigé. Mais dès que j'attache un débogueur Web, tout disparaît et je reçois la page de recherche réelle ... La source de la page lorsque Fiddler capture est complètement différente.

Ci-dessous, une capture d'écran gifv le montrant. Cela commence par la page détournée et je tourne mon curseur autour de quelques fichiers source javascript supplémentaires fragmentaires. Je dis ensuite à Fiddler de capturer le trafic et de rafraîchir mes résultats de recherche. La page que je reçois est complètement différente. Enfin, je désactive à nouveau la capture du trafic et actualise la page pour afficher la page détournée et vous amène à la fonction avec l'erreur de syntaxe qui est censée remplacer l'adresse Web.

http://i.imgur.com/gbWkkLp.gifv

J'ai couru Malwarebytes et n'ai obtenu aucun résultat. Spybot a trouvé quelques hits mais les supprimer n'a pas résolu le problème. J'ai également réinitialisé complètement le chrome à l'aide de l'outil fourni par Google. Si j'utilise un profil Web différent, comme celui dans lequel je fais mes factures, je n'obtiens aucun résultat de recherche. Si j'active le violoneux, tout à coup, j'obtiens des résultats. entrez la description de l'image ici

Derek Ziemba
la source
2
Google utilise HTTPS pour vous fournir des résultats. Vérifiez leur certificat de site et assurez-vous qu'il est signé par Google Internet Authority G2 . Sinon, quelqu'un a ajouté un nouveau certificat racine à votre ordinateur et détourne votre trafic.
Deltik
Vous pourriez être sur quelque chose ici. Il a été signé par "DO_NOT_TRUST_FiddlerRoot", donc ce n'est peut-être pas une coïncidence si cela fonctionne lorsque le violoniste capture du trafic. i.imgur.com/b61IkYc.png J'ai supprimé tous les certificats Fiddler en utilisant certmgr.cfg. Le violoniste était-il ciblé? Depuis la suppression de FiddlerRoot, je ne peux pas accéder à google.com
Derek Ziemba
1
On dirait que Fiddler a été associé à l'adware HTTPS dans le passé, ici sur Super User . Vous voudrez peut-être vous débarrasser de Fiddler. Modifiez probablement aussi vos mots de passe une fois que vous êtes sur un ordinateur sécurisé.
Deltik
Après un redémarrage, je peux à nouveau accéder à Google et le certificat est signé par "Google Internet Authority G2", mais uniquement si j'ai Fiddler configuré pour capturer le trafic. Lorsque le violon n'est pas en train de capturer ou de désinstaller, Google recommence à utiliser le certificat invalide. Je n'ai pas le temps de tout réinstaller ...
Derek Ziemba
Divers logiciels malveillants vérifient si Fiddler est en cours d'utilisation et, dans l'affirmative, ils arrêtent de faire leurs activités malveillantes afin de tenter de cacher leurs actions.
EricLaw

Réponses:

8

Certains logiciels malveillants se faisaient probablement passer pour Fiddler , comme l'a souligné le développeur original de Fiddler, Eric Lawrence :

Divers logiciels malveillants vérifient si Fiddler est en cours d'utilisation et, dans l'affirmative, ils arrêtent de faire leurs activités malveillantes afin de tenter de cacher leurs actions.

( source )

Fiddler est un outil de débogage web. Il n'a aucun comportement malveillant, et il n'est jamais installé à moins que vous ne l'installiez personnellement à l'aide du programme d'installation téléchargé depuis Telerik. Le scénario décrit ici est un logiciel malveillant qui tente d'éviter la détection en se faisant passer pour Fiddler.

( source )


Comportement

Le signe le plus évident de logiciels malveillants est que Google Chrome ne charge pas les sites Web HTTPS comme prévu, sauf si vous utilisez Fiddler pour capturer le trafic. Fiddler n'est pas conçu pour interférer avec votre navigation Web normale lorsqu'il n'est pas utilisé.

Pour que le malware se cache, il doit détourner le proxy Fiddler et résigner le trafic HTTPS avec la clé privée du certificat Fiddler. Il est trivial de modifier les paramètres du proxy et il est possible d' obtenir une copie de la clé privée de votre installation Fiddler .

Certificat racine

Vous avez demandé à Fiddler d'installer un certificat racine sur votre ordinateur, ce qui lui permet de s'insérer en tant qu'homme de milieu (MitM) pour surveiller le contenu des données envoyées via HTTPS:

Capture d'écran de /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

En revanche, voici comment https://www.google.com/ est normalement approuvé:

Capture d'écran de la chaîne de sécurité Google HTTPS appropriée

Votre ordinateur approuve le DO_NOT_TRUST_FiddlerRootcertificat, car il a été installé dans le magasin de certificats de confiance de votre système d'exploitation.

Proxy pour intercepter HTTPS

Vous avez indiqué que HTTPS se comporte correctement sur Mozilla Firefox, qui peut être configuré pour utiliser ses propres règles de proxy indépendantes plutôt que les règles de proxy du système d'exploitation. Google Chrome utilise le proxy du système d'exploitation sans option simple pour faire autrement.

En passant par le proxy au niveau du système d'exploitation de Fiddler, Fiddler peut maintenant être le MitM pour capturer des données HTTPS non cryptées tout en continuant à servir le site. Fiddler va chercher une page Web, signe alors comme « www.google.com » à l' aide du certificat qui a été fait confiance plus tôt, DO_NOT_TRUST_FiddlerRoot.

Dans ces circonstances, les logiciels malveillants peuvent prendre en charge le proxy et le certificat pour vous nourrir du mauvais site tout en vous montrant le icône de verrouillage vert. Je peux voir cela conduire à des attaques de phishing élaborées.

Problèmes de sécurité

Liés à Security Stack Exchange: quels risques de sécurité sont posés par les éditeurs de logiciels déployant des proxys d'interception SSL sur les bureaux des utilisateurs

Comme l' a écrit Eric Lawrence ,

Les capacités d'interception HTTPS de Fiddler (à juste titre) soulèvent les sourcils parmi les utilisateurs soucieux de la sécurité.

C'est pourquoi Fiddler met en garde contre les implications en matière de sécurité de l'interception du trafic HTTPS:

Capture d'écran d'un avertissement intégré Fiddler

Par erreur d'utilisateur ou installation de logiciel malveillant, Fiddler a été associé à divers problèmes:

Bien que Fiddler lui-même ne soit pas un programme nuisible, sa mauvaise utilisation et ses malentendus ont conduit à une mauvaise réputation passée et à des virus se faisant passer pour Fiddler .


Suppression

Je ne sais pas si votre ordinateur a été compromis par un pirate de l'air Fiddler, mais vous avez indiqué que vous n'avez pas le temps de nettoyer votre ordinateur et de le réinstaller, donc j'espère que les étapes suivantes peuvent se débarrasser de Fiddler et restaurer un comportement Web sécurisé approprié. (Je recommanderais toujours de réinstaller et de modifier vos mots de passe par la suite, surtout si vous êtes sérieux au sujet de la sécurité. Vous avez écrit que Spybot - Search & Destroy a trouvé des logiciels malveillants.)

Avant-propos: déconfigurer Fiddler

L'affiche originale a découvert ces étapes supplémentaires pour résoudre son problème avec Fiddler:

En fin de compte, ce qui a été résolu: Paramètres -> Afficher les paramètres avancés -> Sous le réseau -> Modifier les paramètres de proxy -> Avancé -> Réinitialiser

et

Toujours dans les paramètres de Fiddler, j'ai désactivé les options lui permettant de déchiffrer le trafic HTTPS avant de désinstaller et de réinitialiser les certificats.

Supprimer le (s) certificat (s) racine du violoneux

  1. Appuyez sur Win+r
  2. Ouvert: certmgr.msc
  3. Parcourez tous les dossiers et supprimez le DO_NOT_TRUST_FiddlerRootcertificat.

Désinstaller Fiddler

  1. Allez dans Panneau de configuration »Programmes» Programmes et fonctionnalités.
  2. Désinstallez Fiddler. Une source dit que Fiddler peut être appelé "FiddlerRoot" ou "BrowserSafeguard".

Effacer les paramètres de proxy

En supposant que vous n'utilisez normalement pas de proxy différent…

  1. Allez dans Panneau de configuration »Options Internet.
  2. Dans les propriétés Internet, accédez à l'onglet "Connexions".
  3. Sous "Paramètres du réseau local (LAN)", cliquez sur "Paramètres LAN".
  4. Effacez et décochez vos paramètres proxy comme suit: Capture d'écran des paramètres du réseau local (LAN)

Supprimer les logiciels malveillants

Comme suggéré précédemment sur Super User , vous devriez essayer de trouver et de supprimer le malware d'origine qui affichait les pages Web HTTPS modifiées.

Conseils détaillés:
comment supprimer les logiciels espions, logiciels malveillants, logiciels publicitaires, virus, chevaux de Troie ou rootkits malveillants de mon PC?

Deltik
la source
Merci pour l'écriture détaillée. Je ne peux pas me résoudre à croire que Fiddler est néfaste car mes collègues et moi l'utilisons presque tous les jours depuis des années. Je peux croire que quelque chose d'autre a peut-être profité du certificat FiddlerRoot. J'ai toujours installé Fiddler et je n'ai pas fait de mise à niveau récemment, ce problème est apparu ces derniers jours. Si Fiddler était néfaste, je ne pense pas qu'il aurait eu "DO_NOT_TRUST" dans le nom du certificat. En fin de compte, ce qui a été résolu: Paramètres -> Afficher les paramètres avancés -> Sous réseau -> Modifier les paramètres de proxy -> Avancé -> Réinitialiser
Derek Ziemba
Certlm.msc ne semble pas non plus être disponible dans Win7. Cependant, j'ai supprimé toutes les entrées de certificat pour Fiddler à l'aide de certmgr.msc. Toujours dans les paramètres de Fiddler, j'ai désactivé les options lui permettant de déchiffrer le trafic HTTPS avant de désinstaller et de réinitialiser les certificats. Si vous modifiez votre message pour inclure ces étapes légèrement différentes, je marquerai cela comme la réponse, car finalement il a résolu le problème.
Derek Ziemba
@DerekZiemba: Je ne parlais que de diverses plaintes concernant Fiddler, je ne savais pas ce que c'était, mais maintenant que je l'ai recherché, je vois que c'est censé être un outil légitime. J'ai changé ma réponse pour la rendre moins accusatrice et aussi pour mettre les faits corrigés que vous avez trouvés.
Deltik
2
Vous êtes TRÈS confus à propos de Fiddler. Fiddler est un outil de débogage web. Il n'a aucun comportement malveillant, et il n'est jamais installé à moins que vous ne l'installiez personnellement à l'aide du programme d'installation téléchargé depuis Telerik. Le scénario décrit ici est un logiciel malveillant qui tente d'éviter la détection en se faisant passer pour Fiddler.
EricLaw
Bonjour @EricLaw. Je suis honoré d'avoir votre commentaire officiel / faisant autorité. C'est ma faute d'avoir été mal informé et d'avoir accordé un poids indu à Fiddler. J'ai modifié ma réponse pour inclure votre contribution. Je suis désolé des inconvénients. (Après tout, vous êtes assez près pour marcher vers moi et me frapper au visage!)
Deltik