Die Google-Suche wurde nur entführt, wenn sie nicht beachtet wurde. Das Anhängen eines Debuggers liefert normale Ergebnisse

12

Ich kann das nicht herausfinden. Ich bemerkte, dass meine Suchergebnisse in letzter Zeit etwas "anders" waren.

  • Ich bin nicht angemeldet, wenn ich eine Google-Suche durchführe. Wenn ich jedoch auf "Bilder" oder "Videos" klicke, werde ich als angemeldet angezeigt.
  • In der Seitenleiste der Suchseite befinden sich keine Wikipedia-Informationen.
  • Wenn ich Ghostery und uBlock deaktiviere, handelt es sich bei vielen Ergebnissen um Anzeigen.

Ich habe mich entschlossen, die Entwicklertools zu überprüfen, und festgestellt, dass die Seite einen SyntaxError enthält. Ich habe darauf geklickt und er führt tatsächlich zu einer JavaScript-Funktion, die die Google-Webadresse ersetzt.

Das Problem scheint nur in Chrome aufzutreten, hier ist eine Seite an Seite mit Firefox: http://i.imgur.com/7J1G9mR.png

Ich habe versucht, Fiddler Web Debugger anzuschließen, um den Datenverkehr zu erfassen, damit ich sehen kann, wohin ich umgeleitet werde. Aber sobald ich einen Web-Debugger anhänge, verschwindet alles und mir wird die eigentliche Suchseite angezeigt .

Unten sehen Sie ein Screenshot-GIFV, das es zeigt. Es beginnt mit der entführten Seite und ich bewege meinen Cursor um einige skizzenhafte zusätzliche Javascript-Quelldateien. Anschließend fordere ich Fiddler auf, den Datenverkehr zu erfassen und meine Suchergebnisse zu aktualisieren. Die Seite, die ich bediene, ist völlig anders. Schließlich deaktiviere ich die Verkehrserfassung wieder und aktualisiere die Seite, um die entführte Seite anzuzeigen und Sie zu der Funktion mit dem Syntaxfehler zu führen, der die Webadresse ersetzen soll.

http://i.imgur.com/gbWkkLp.gifv

Ich lief Malwarebytes und bekam keine Ergebnisse. Spybot hatte ein paar Treffer, deren Entfernung das Problem jedoch nicht behebt. Ich habe Chrome auch mithilfe des von Google bereitgestellten Tools vollständig zurückgesetzt. Wenn ich ein anderes Webprofil verwende, wie das, in dem ich meine Rechnungen abrechne, erhalte ich keine Suchergebnisse. Wenn ich Fiddler aktiviere, erhalte ich plötzlich Ergebnisse. Bildbeschreibung hier eingeben

google-chrome  fiddler  hijack  debugger 
Derek Ziemba
quelle
2
Google verwendet HTTPS, um Ihnen Ergebnisse zu liefern. Überprüfen Sie das Site-Zertifikat und stellen Sie sicher, dass es von Google Internet Authority G2 signiert ist . Andernfalls hat jemand ein neues Stammzertifikat zu Ihrem Computer hinzugefügt und stiehlt Ihren Datenverkehr.
Deltik
Sie könnten auf etwas hier sein. Es wurde von "DO_NOT_TRUST_FiddlerRoot" signiert, daher ist es möglicherweise kein Zufall, dass es funktioniert, wenn Fiddler Datenverkehr erfasst. i.imgur.com/b61IkYc.png Ich habe alle Fiddler-Zertifikate mit certmgr.cfg entfernt. Wurde der Geiger ins Visier genommen? Seit ich FiddlerRoot entfernt habe, kann ich nicht mehr auf google.com zugreifen
Derek Ziemba
1
Es sieht so aus, als ob Fiddler in der Vergangenheit mit HTTPS-Adware in Verbindung gebracht wurde, direkt hier bei Super User . Vielleicht möchten Sie Fiddler loswerden. Ändern Sie wahrscheinlich auch Ihre Passwörter, sobald Sie sich auf einem sicheren Computer befinden.
Deltik
Nach einem Neustart kann ich wieder auf Google zugreifen und das Zertifikat wird von "Google Internet Authority G2" signiert, allerdings nur, wenn Fiddler auf "Datenverkehr erfassen" eingestellt ist. Wenn Fiddler nicht erfasst oder deinstalliert, verwendet Google wieder das ungültige Zertifikat. Ich habe keine Zeit, um alles neu zu installieren ...
Derek Ziemba
Verschiedene Malware-Programme überprüfen, ob Fiddler verwendet wird. In diesem Fall stellen sie ihre böswilligen Aktivitäten ein, um zu versuchen, ihre Aktionen zu verbergen.
EricLaw

Antworten:

8

Einige Schadprogramme gaben sich wahrscheinlich als Fiddler aus , wie der ursprüngliche Entwickler von Fiddler, Eric Lawrence , bemerkte:

Verschiedene Malware-Programme überprüfen, ob Fiddler verwendet wird. In diesem Fall stellen sie ihre böswilligen Aktivitäten ein, um zu versuchen, ihre Aktionen zu verbergen.

( Quelle )

Fiddler ist ein Web-Debugging-Tool. Es hat überhaupt kein bösartiges Verhalten und wird niemals installiert, es sei denn, Sie installieren es persönlich mit dem von Telerik heruntergeladenen Installationsprogramm. Das hier beschriebene Szenario ist eine Malware, die versucht, die Erkennung zu verhindern, indem sie sich wie Fiddler ausgibt.

( Quelle )

Verhalten

Das deutlichste Anzeichen für Malware ist, dass Google Chrome HTTPS-Websites nicht wie vorgesehen lädt, es sei denn, Sie verwenden Fiddler, um den Datenverkehr zu erfassen. Fiddler ist nicht dafür ausgelegt, das normale Surfen im Internet zu beeinträchtigen, wenn es nicht verwendet wird.

Damit sich die Malware selbst verstecken kann, muss sie den Fiddler-Proxy hijacken und den HTTPS-Verkehr mit dem privaten Schlüssel des Fiddler-Zertifikats zurücktreten. Es ist ganz einfach, die Proxy-Einstellungen zu ändern , und es ist möglich , eine Kopie des privaten Schlüssels Ihrer Fiddler-Installation zu erhalten .

Stammzertifikat

Sie hatten Fiddler ein Stammzertifikat auf Ihrem Computer installiert, das es ihm ermöglicht, sich als Man-in-the-Middle (MitM) einzufügen, um den Dateninhalt zu überwachen, der über HTTPS gesendet wird:

Screenshot von /superuser/1034394/google-search-hijacked-only-when-not-being-beobachtet-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Im Gegensatz dazu wird https://www.google.com/ normalerweise folgendermaßen als vertrauenswürdig eingestuft:

Screenshot der richtigen Google HTTPS-Sicherheitskette

Ihr Computer vertraut dem DO_NOT_TRUST_FiddlerRootZertifikat, da es im Zertifikat-Truststore Ihres Betriebssystems installiert wurde.

Proxy zum Abfangen von HTTPS

Sie haben angegeben, dass sich HTTPS unter Mozilla Firefox ordnungsgemäß verhält. In dieser Konfiguration können anstelle der Proxy-Regeln des Betriebssystems eigene unabhängige Proxy-Regeln verwendet werden. Google Chrome verwendet den Betriebssystem-Proxy, ohne eine einfache Möglichkeit, etwas anderes zu tun.

Über Fiddlers Proxy auf Betriebssystemebene kann Fiddler nun als MitM fungieren, um unverschlüsselte HTTPS-Daten zu erfassen, während die Site weiterhin bedient wird. Fiddler ruft eine Webseite ab und signiert sie dann mit dem zuvor vertrauenswürdigen Zertifikat als "www.google.com" DO_NOT_TRUST_FiddlerRoot.

Unter diesen Umständen kann Malware sowohl den Proxy als auch das Zertifikat übernehmen, um Sie mit der falschen Site zu versorgen, während Ihnen weiterhin die angezeigt wird grünes Schlosssymbol. Ich kann sehen, dass dies zu ausgefeilten Phishing-Angriffen führt.

Sicherheitsbedenken

Verwandte Themen zu Security Stack Exchange: Welche Sicherheitsrisiken bestehen bei Softwareanbietern, die SSL Intercepting-Proxys auf Benutzerdesktops bereitstellen

Wie Eric Lawrence einmal schrieb ,

Die HTTPS-Überwachungsfunktionen von Fiddler ziehen (zu Recht) die Augenbrauen sicherheitsbewusster Benutzer hoch.

Aus diesem Grund warnt Fiddler vor den Auswirkungen des Abfangens von HTTPS-Verkehr auf die Sicherheit:

Screenshot einer in Fiddler integrierten Warnung

Durch Benutzerfehler oder Malware-Installation wurde Fiddler mit verschiedenen Problemen in Verbindung gebracht:

Obwohl Fiddler selbst kein schädliches Programm ist, führten sein Missbrauch und seine Missverständnisse in der Vergangenheit zu einem schlechten Ruf und Viren, die sich als Fiddler ausgeben .

Entfernung

Ich weiß nicht, ob Ihr Computer von einem Fiddler-Hijacker kompromittiert wurde, aber Sie haben angegeben, dass Sie keine Zeit haben, Ihren Computer zu löschen und neu zu installieren. Hoffentlich können die folgenden Schritte Fiddler loswerden und das ordnungsgemäße sichere Webverhalten wiederherstellen. (Ich würde weiterhin empfehlen, Ihre Passwörter nachträglich erneut zu installieren und zu ändern, insbesondere wenn Sie es mit der Sicherheit ernst meinen. Sie haben geschrieben, Spybot - Search & Destroy habe Malware gefunden.)

Vorwort: Entkonfigurieren Sie Fiddler

Das Originalplakat entdeckte diese zusätzlichen Schritte , um sein Problem mit Fiddler zu lösen:

Letztendlich war das Problem behoben: Einstellungen -> Erweiterte Einstellungen anzeigen -> Unter Netzwerk -> Proxy-Einstellungen ändern -> Erweitert -> Zurücksetzen

und

Außerdem habe ich in den Fiddler-Einstellungen die Optionen deaktiviert, mit denen der HTTPS-Verkehr entschlüsselt werden kann, bevor Zertifikate deinstalliert und erneut gelöscht werden.

Fiddler's Root Certificate (s) entfernen

  1. Drücken Sie Win+r
  2. Öffnen: certmgr.msc
  3. Durchsuchen Sie alle Ordner und entfernen Sie das DO_NOT_TRUST_FiddlerRootZertifikat.

Deinstallieren Sie Fiddler

  1. Gehen Sie zu Systemsteuerung »Programme» Programme und Funktionen.
  2. Deinstallieren Sie Fiddler. Einer Quelle zufolge kann Fiddler "FiddlerRoot" oder "BrowserSafeguard" genannt werden.

Proxy-Einstellungen löschen

Angenommen, Sie verwenden normalerweise keinen anderen Proxy.

  1. Gehen Sie zu Systemsteuerung »Internetoptionen.
  2. Wechseln Sie in den Internet-Eigenschaften zur Registerkarte "Verbindungen".
  3. Klicken Sie unter "LAN-Einstellungen" auf "LAN-Einstellungen".
  4. Deaktivieren und deaktivieren Sie Ihre Proxy-Einstellungen wie folgt: Screenshot der LAN-Einstellungen (Local Area Network)

Malware entfernen

Wie bereits für Super User vorgeschlagen , sollten Sie versuchen, die ursprüngliche Malware zu finden und zu entfernen, die geänderte HTTPS-Webseiten anzeigt.

Ausführliche Hinweise:
Wie kann ich böswillige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?

Deltik
quelle
Vielen Dank für die ausführliche Beschreibung. Ich kann mich nicht dazu bringen zu glauben, dass Fiddler schändlich ist, weil meine Mitarbeiter und ich es fast jeden Tag seit Jahren benutzen. Ich kann mir vorstellen, dass möglicherweise noch etwas anderes das FiddlerRoot-Zertifikat ausgenutzt hat. Ich hatte immer Fiddler installiert und habe in letzter Zeit kein Upgrade durchgeführt. Dieses Problem trat in den letzten Tagen auf. Wenn Fiddler schändlich gewesen wäre, hätte der Zertifikatsname meines Erachtens nicht "DO_NOT_TRUST" enthalten. Letztendlich war das Problem behoben: Einstellungen -> Erweiterte Einstellungen anzeigen -> Unter Netzwerk -> Proxy-Einstellungen ändern -> Erweitert -> Zurücksetzen
Derek Ziemba
Außerdem scheint certlm.msc in Win7 nicht verfügbar zu sein. Allerdings habe ich alle Zertifikatseinträge für Fiddler mit certmgr.msc entfernt. Außerdem habe ich in den Fiddler-Einstellungen die Optionen deaktiviert, mit denen der HTTPS-Verkehr entschlüsselt werden kann, bevor Zertifikate deinstalliert und erneut gelöscht werden. Wenn Sie Ihren Beitrag so bearbeiten, dass er diese leicht abweichenden Schritte enthält, werde ich dies als Antwort markieren, da das Problem letztendlich behoben wurde.
Derek Ziemba
@DerekZiemba: Ich ging nur auf verschiedene Beschwerden ein, die ich über Fiddler fand, ich wusste nicht, was es war, aber jetzt, wo ich es nachgeschlagen habe, sehe ich, dass es ein legitimes Werkzeug sein soll. Ich habe meine Antwort geändert, um sie weniger anklagend zu machen und die korrigierten Fakten, die Sie gefunden haben, einzutragen.
Deltik
2
Sie sind sehr verwirrt über Fiddler. Fiddler ist ein Web-Debugging-Tool. Es hat überhaupt kein bösartiges Verhalten und wird niemals installiert, es sei denn, Sie installieren es persönlich mit dem von Telerik heruntergeladenen Installationsprogramm. Das hier beschriebene Szenario ist eine Malware, die versucht, die Erkennung zu verhindern, indem sie sich wie Fiddler ausgibt.
EricLaw
Hallo @EricLaw. Es ist mir eine Ehre, Ihren offiziellen / maßgeblichen Kommentar zu haben. Ich bin schuld daran, dass ich nicht informiert bin und Fiddler übermäßig kritisiert habe. Ich habe meine Antwort bearbeitet, um Ihre Eingabe einzuschließen. Es tut mir leid für die Unannehmlichkeiten. (Immerhin bist du nahe genug, um auf mich
zuzugehen
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.