Windows 사용자가되는 것은 무서운시기입니다. Lenovo는 HTTPS 하이재킹 Superfish 애드웨어를 번들로 제공했습니다. , Comodo에는 PrivDog라는 더 나쁜 보안 구멍이 있습니다. 과 수십 개의 다른 앱 LavaSoft처럼 같은 일을하고 있습니다. 정말 나쁘지만 암호화 된 웹 세션을 가로 채고 싶다면 CNET 다운로드 나 프리웨어 사이트로 이동하세요. 이제 모두 HTTPS를 깨는 애드웨어를 번들로 묶고 있기 때문입니다.
관련 : Top 10 Download.com 앱을 설치하면 다음과 같은 결과가 나타납니다.
Superfish 실패는 Lenovo 컴퓨터에 번들로 제공되는 Superfish가 Windows에 가짜 루트 인증서를 설치하여 기본적으로 모든 HTTPS 브라우징을 가로 채서 인증서가 유효하지 않은 경우에도 항상 유효하게 보이도록하고 있다는 사실을 발견했을 때 시작되었습니다. 모든 스크립트 아동 해커가 동일한 작업을 수행 할 수있는 안전하지 않은 방법입니다.
그런 다음 브라우저에 프록시를 설치하고 광고를 삽입 할 수 있도록 모든 검색을 강제합니다. 은행이나 건강 보험 사이트 또는 보안이 필요한 모든 곳에 연결할 때도 맞습니다. 그리고 광고를 표시하기 위해 Windows 암호화를 위반했기 때문에 결코 알 수 없습니다.
하지만 슬프고 슬픈 사실은 그들이이 일을하는 유일한 사람이 아니라는 것입니다. Wajam, Geniusbox, Content Explorer 및 기타와 같은 애드웨어는 모두 똑같은 작업을 수행합니다. , 자체 인증서를 설치하고 모든 검색 (HTTPS 암호화 검색 세션 포함)이 프록시 서버를 통과하도록합니다. CNET 다운로드에 상위 10 개 앱 중 2 개를 설치하는 것만으로도이 말도 안되는 문제에 감염 될 수 있습니다.
결론은 브라우저의 주소 표시 줄에있는 녹색 자물쇠 아이콘을 더 이상 신뢰할 수 없다는 것입니다. 그것은 무섭고 무서운 것입니다.
HTTPS 하이재킹 애드웨어의 작동 방식과 그토록 나쁜 이유
앞서 살펴본 것처럼 CNET 다운로드를 신뢰하는 엄청난 실수를 범하면 이미 이러한 유형의 애드웨어에 감염되었을 수 있습니다. CNET (KMPlayer 및 YTD)에서 상위 10 개 다운로드 중 2 개는 두 가지 유형의 HTTPS 하이재킹 애드웨어를 번들로 제공합니다. , 그리고 우리의 조사에서 우리는 대부분의 다른 프리웨어 사이트들이 같은 일을하고 있음을 발견했습니다.
노트 : 설치 프로그램이 너무 까다 롭고 복잡해서 누구인지 확실하지 않습니다. 기술적으로 "번들링"을 수행하지만 CNET은 홈 페이지에서 이러한 앱을 홍보하고 있으므로 실제로 의미론의 문제입니다. 사람들에게 나쁜 것을 다운로드하도록 권장하는 경우에도 똑같이 잘못이 있습니다. 또한 이러한 애드웨어 회사 중 상당수가 다른 회사 이름을 사용하는 동일한 사람들이라는 사실을 발견했습니다.
CNET 다운로드의 상위 10 개 목록에있는 다운로드 수에 따르면 매달 백만 명이 암호화 된 웹 세션을 은행, 이메일 또는 보안이 필요한 모든 것으로 가로채는 애드웨어에 감염됩니다.
KMPlayer를 설치하는 실수를했고 다른 크랩웨어를 모두 무시하면이 창이 표시됩니다. 실수로 수락을 클릭하거나 잘못된 키를 눌렀을 경우 시스템이 풀립니다.
즐겨 찾는 검색 엔진의 다운로드 광고와 같이 좀 더 대략적인 소스에서 다운로드 한 경우 좋지 않은 항목의 전체 목록이 표시됩니다. 이제 우리는 그들 중 다수가 HTTPS 인증서 유효성 검사를 완전히 중단하여 완전히 취약하게 만들 것이라는 것을 알고 있습니다.
이러한 것들 중 하나에 감염되면 가장 먼저 발생하는 일은 컴퓨터에 설치된 로컬 프록시를 통해 실행되도록 시스템 프록시를 설정하는 것입니다. 아래의 "보안"항목에 특히주의하십시오. 이 경우는 Wajam 인터넷 "Enhancer"에서 제공되었지만 Superfish 나 Geniusbox 또는 우리가 찾은 다른 것 중 하나 일 수 있으며 모두 동일한 방식으로 작동합니다.
보안이 필요한 사이트로 이동하면 녹색 자물쇠 아이콘이 표시되고 모든 것이 완벽하게 정상적으로 보입니다. 자물쇠를 클릭하여 세부 정보를 볼 수도 있으며 모든 것이 정상이라고 표시됩니다. 보안 연결을 사용 중이며 Google 크롬도 보안 연결로 Google에 연결되었다고보고합니다. 하지만 그렇지 않습니다!
System Alerts LLC는 실제 루트 인증서가 아니며 실제로 페이지에 광고를 삽입하는 중간자 (Man-in-the-Middle) 프록시를 통과하고 있습니다. 모든 비밀번호를 이메일로 보내야합니다. 더 쉬울 것입니다.
애드웨어가 설치되고 모든 트래픽을 프록시하면 모든 곳에서 정말 불쾌한 광고가 표시되기 시작합니다. 이러한 광고는 실제 Google 광고를 대체하는 Google과 같은 보안 사이트에 표시되거나 모든 사이트를 차지하는 팝업으로 표시됩니다.
이 애드웨어의 대부분은 노골적인 맬웨어에 대한 "광고"링크를 보여줍니다. 따라서 애드웨어 자체는 법적 성가신 일이 될 수 있지만 실제로는 정말 나쁜 일을 가능하게합니다.
가짜 루트 인증서를 Windows 인증서 저장소에 설치 한 다음 가짜 인증서로 서명하는 동안 보안 연결을 프록시하여이를 수행합니다.
Windows 인증서 패널을 보면 모든 종류의 완전히 유효한 인증서를 볼 수 있지만 PC에 일부 유형의 애드웨어가 설치되어있는 경우 System Alerts, LLC 또는 Superfish, Wajam 또는 수십 개의 다른 가짜.
감염된 후 악성 소프트웨어를 제거하더라도 인증서가 여전히 남아있을 수 있으므로 개인 키를 추출했을 수있는 다른 해커에 취약해질 수 있습니다. 대부분의 애드웨어 설치 프로그램은 인증서를 제거 할 때 인증서를 제거하지 않습니다.
모두 중간자 (Man-in-the-Middle) 공격이며 작동 방식은 다음과 같습니다.
PC에 인증서 저장소에 가짜 루트 인증서가 설치되어있는 경우 이제 중간자 공격에 취약합니다. 이것이 의미하는 바는 공용 핫스팟에 연결하거나 누군가가 네트워크에 액세스하거나 업스트림에서 무언가를 해킹 할 경우 합법적 인 사이트를 가짜 사이트로 대체 할 수 있다는 것입니다. 이것은 어마 어마하게 들릴 수 있지만 해커는 웹에서 가장 큰 사이트 중 일부에서 DNS 하이재킹을 사용하여 사용자를 가짜 사이트로 하이재킹 할 수있었습니다.
당신이 납치되면, 그들은 당신이 개인 사이트에 제출하는 모든 것을 읽을 수 있습니다-비밀번호, 개인 정보, 건강 정보, 이메일, 사회 보장 번호, 은행 정보 등. 그리고 당신의 브라우저가 당신에게 알려줄 것이기 때문에 당신은 결코 알 수 없습니다. 당신의 연결이 안전하다는 것을.
이는 공개 키 암호화에 공개 키와 개인 키가 모두 필요하기 때문에 작동합니다. 공개 키는 인증서 저장소에 설치되며 개인 키는 방문하는 웹 사이트에서만 알고 있어야합니다. 그러나 공격자가 루트 인증서를 탈취하고 공개 키와 개인 키를 모두 보유 할 수 있으면 원하는 모든 작업을 수행 할 수 있습니다.
Superfish의 경우 Superfish가 설치된 모든 컴퓨터에서 동일한 개인 키를 사용했으며 몇 시간 내에 보안 연구원이 개인 키를 추출 할 수있었습니다 웹 사이트를 만들어 당신이 취약한 지 테스트 , 납치 당할 수 있음을 증명하십시오. Wajam 및 Geniusbox의 경우 키가 다르지만 Content Explorer 및 일부 다른 애드웨어도 모든 곳에서 동일한 키를 사용하므로이 문제는 Superfish에만 국한되지 않습니다.
더 나 빠진다 :이 쓰레기의 대부분은 HTTPS 유효성 검사를 완전히 비활성화합니다.
바로 어제 보안 연구원들은 훨씬 더 큰 문제를 발견했습니다. 이러한 모든 HTTPS 프록시는 모든 유효성 검사를 비활성화하면서 모든 것이 정상인 것처럼 보이게합니다.
즉, 완전히 유효하지 않은 인증서가있는 HTTPS 웹 사이트로 이동할 수 있으며이 애드웨어는 사이트가 정상임을 알려줍니다. 앞서 언급 한 애드웨어를 테스트했으며 모두 HTTPS 유효성 검사를 완전히 사용 중지 했으므로 비공개 키가 고유한지 여부는 중요하지 않습니다. 놀랍게도 나쁘다!
애드웨어를 설치 한 사람은 누구나 모든 종류의 공격에 취약하며 많은 경우 애드웨어를 제거하더라도 계속해서 취약합니다.
Superfish, Komodia에 취약하거나 잘못된 인증서 확인을 사용하여 확인할 수 있습니다. 보안 연구원이 만든 테스트 사이트 ,하지만 이미 입증했듯이 동일한 작업을 수행하는 애드웨어가 훨씬 더 많으며 연구 결과 상황이 계속 악화 될 것입니다.
자신을 보호하십시오 : 인증서 패널을 확인하고 잘못된 항목 삭제
걱정이되는 경우 나중에 다른 사람의 프록시 서버에서 활성화 할 수있는 대략적인 인증서가 설치되어 있지 않은지 인증서 저장소를 확인해야합니다. 이것은 약간 복잡 할 수 있습니다. 왜냐하면 거기에는 많은 것들이 있고 대부분이 거기에 있어야하기 때문입니다. 또한 거기에 있어야 할 것과해서는 안되는 것에 대한 좋은 목록이 없습니다.
WIN + R을 사용하여 실행 대화 상자를 표시 한 다음 "mmc"를 입력하여 Microsoft Management Console 창을 표시합니다. 그런 다음 파일-> 스냅인 추가 / 제거를 사용하고 왼쪽 목록에서 인증서를 선택한 다음 오른쪽에 추가합니다. 다음 대화 상자에서 컴퓨터 계정을 선택했는지 확인한 다음 나머지를 클릭하십시오.
신뢰할 수있는 루트 인증 기관으로 이동하여 이러한 항목 (또는 이와 유사한 항목)과 같은 실제 대략적인 항목을 찾는 것이 좋습니다.
- 센 도리
- Purelead
- 로켓 탭
- 슈퍼 피쉬
- 조회
- 판도
- 아잠
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler는 합법적 인 개발자 도구이지만 멀웨어가 인증서를 탈취했습니다.)
- 시스템 경고, LLC
- CE_UmbrellaCert
찾은 항목을 마우스 오른쪽 버튼으로 클릭하고 삭제합니다. 브라우저에서 Google을 테스트 할 때 잘못된 것을 발견 한 경우 해당 항목도 삭제하십시오. 여기서 잘못된 항목을 삭제하면 Windows가 손상 될 수 있으니 조심하세요.
Microsoft가 루트 인증서를 확인하고 좋은 인증서 만 있는지 확인하기 위해 무언가를 출시하기를 바랍니다. 이론적으로 사용할 수 있습니다 Windows에 필요한 인증서의 Microsoft 목록 , 그리고 최신 루트 인증서로 업데이트 ,하지만 현재로서는 완전히 테스트되지 않았으며 누군가가 테스트 할 때까지 권장하지 않습니다.
다음으로 웹 브라우저를 열고 거기에 캐시 된 인증서를 찾아야합니다. Google Chrome의 경우 설정, 고급 설정으로 이동 한 다음 인증서 관리로 이동합니다. 개인에서 잘못된 인증서의 제거 버튼을 쉽게 클릭 할 수 있습니다.
하지만 신뢰할 수있는 루트 인증 기관으로 이동하면 고급을 클릭 한 다음 표시되는 모든 항목을 선택 취소하여 해당 인증서에 대한 권한 부여를 중지해야합니다.
그러나 그것은 광기입니다.
관련 : 감염된 컴퓨터를 청소하지 마십시오! Nuke하고 Windows를 다시 설치하십시오.
고급 설정 창 하단으로 이동하여 설정 재설정을 클릭하여 Chrome을 기본값으로 완전히 재설정합니다. 사용중인 다른 브라우저에 대해 동일한 작업을 수행하거나 완전히 제거하고 모든 설정을 지운 다음 다시 설치하십시오.
컴퓨터가 영향을 받았다면 아마도 Windows 완전히 새로 설치하기 . 문서와 사진 등을 모두 백업하십시오.
그렇다면 어떻게 자신을 보호합니까?
자신을 완전히 보호하는 것은 거의 불가능하지만 다음은 도움이되는 몇 가지 상식적인 지침입니다.
- 을 체크하다 Superfish / Komodia / 인증 검증 테스트 사이트 .
- 브라우저에서 플러그인에 대한 클릭 투 플레이 활성화 , 이는 이러한 모든 제로 데이 플래시로부터 보호 다른 플러그인 보안 구멍이 있습니다.
- 있다 당신이 다운로드하는 것을 정말로 조심하십시오 그리고 시도 꼭 필요한 경우 Ninite를 사용하십시오. .
- 클릭 할 때마다 클릭하는 것에주의를 기울이십시오.
- 사용 고려 Microsoft의 EMET (Enhanced Mitigation Experience Toolkit) 또는 Malwarebytes Anti-Exploit 보안 허점 및 제로 데이 공격으로부터 브라우저 및 기타 중요한 애플리케이션을 보호합니다.
- 모든 소프트웨어, 플러그인 및 바이러스 백신이 최신 상태로 유지되는지 확인하고 Windows 업데이트도 포함합니다. .
하지만 하이재킹을 당하지 않고 웹을 탐색하려는 경우에는 엄청난 작업입니다. TSA를 다루는 것과 같습니다.
Windows 생태계는 크랩웨어의 기병입니다. 그리고 이제 인터넷의 기본 보안이 Windows 사용자에게 손상되었습니다. Microsoft는이 문제를 해결해야합니다.
