A Pesquisa do Google seqüestrou apenas quando não está sendo observada. Anexar um depurador retorna resultados normais

12

Eu não consigo descobrir isso. Percebi que meus resultados de pesquisa eram um pouco "diferentes" ultimamente.

  • Não estou conectado quando faço uma pesquisa no google, mas se eu clicar em "Imagens" ou "Vídeos", será exibido como conectado.
  • Não há informações da Wikipedia na barra lateral da página de pesquisa.
  • Se eu desativar o Ghostery e o uBlock, muitos dos resultados serão anúncios.

Decidi verificar as ferramentas do desenvolvedor e notei que havia um SyntaxError na página, cliquei nele e ele realmente leva a uma função javascript que substitui o endereço da web do google.

O problema parece ocorrer apenas no Chrome, aqui está um lado a lado do Firefox: http://i.imgur.com/7J1G9mR.png

Tentei anexar o Fiddler Web Debugger para capturar o tráfego para poder ver para onde estou sendo redirecionado. Mas assim que eu anexo um depurador da Web, tudo desaparece e eu recebo a página de pesquisa real ... A fonte da página quando o Fiddler está capturando é completamente diferente.

Abaixo está uma captura de tela gifv mostrando. Começa com a página invadida e eu circulo meu cursor em torno de alguns arquivos de origem javascript adicionais incompletos. Depois, digo ao Fiddler para capturar tráfego e atualizar meus resultados de pesquisa. A página que eu recebi é completamente diferente. Finalmente, desabilito a captura de tráfego novamente e atualizo a página para mostrar a página seqüestrada e levo você para a função com o erro de sintaxe que deve substituir o endereço da web.

http://i.imgur.com/gbWkkLp.gifv

Corri o Malwarebytes e não obtive resultados. O Spybot apresentou alguns hits, mas removê-los não resolveu o problema. Também redefini completamente o Chrome usando a ferramenta fornecida pelo Google. Se eu usar um perfil da web diferente, como aquele em que faço minhas contas, não recebo resultados de pesquisa. Se eu ativar o violinista, de repente eu obtenho resultados. insira a descrição da imagem aqui

Derek Ziemba
fonte
2
O Google usa HTTPS para fornecer resultados. Verifique o certificado do site e verifique se está assinado pelo Google Internet Authority G2 . Caso contrário, alguém adicionou um novo certificado raiz ao seu computador e está seqüestrando seu tráfego.
Deltik 02/02
Você pode estar interessado em algo aqui. Ele foi assinado por "DO_NOT_TRUST_FiddlerRoot", portanto, pode não ser coincidência que funcione quando o violinista estiver capturando tráfego. i.imgur.com/b61IkYc.png Eu removi todos os certificados do Fiddler usando certmgr.cfg. O violinista foi alvejado? Desde a remoção FiddlerRoot, não posso acessar google.com
Derek Ziemba
1
Parece que o Fiddler foi associado ao adware HTTPS no passado, aqui no Superusuário . Você pode se livrar do Fiddler. Provavelmente, altere suas senhas também quando estiver em um computador seguro.
Deltik 02/02
Após uma reinicialização, posso acessar o Google novamente e o certificado é assinado por "Google Internet Authority G2", mas somente se o Fiddler estiver definido como Capturar tráfego. Quando o violinista não está capturando ou desinstalado, o Google volta a usar o certificado inválido. Eu não tenho tempo para reinstalar tudo ...
Derek Ziemba
Várias partes de malware verificam se o Fiddler está em uso e, se estiverem, deixam de realizar atividades maliciosas para ocultar suas ações.
EricLaw 04/02

Respostas:

8

Algum malware provavelmente estava se passando pelo Fiddler , como apontou o desenvolvedor original do Fiddler, Eric Lawrence :

Várias partes de malware verificam se o Fiddler está em uso e, se estiverem, deixam de realizar atividades maliciosas para ocultar suas ações.

( fonte )

O Fiddler é uma ferramenta de depuração da web. Não possui nenhum comportamento malicioso e nunca é instalado, a menos que você o instale pessoalmente usando o instalador baixado da Telerik. O cenário descrito aqui é um malware que tenta evitar a detecção, parecendo o Fiddler.

( fonte )


Comportamento

O sinal mais claro de malware é que o Google Chrome não carrega sites HTTPS conforme planejado, a menos que você esteja usando o Fiddler para capturar tráfego. O Fiddler não foi projetado para interferir na sua navegação normal na Web quando não estiver em uso.

Para que o malware se esconda, ele precisa seqüestrar o proxy do Fiddler e renunciar ao tráfego HTTPS com a chave privada do certificado do Fiddler. É trivial alterar as configurações de proxy e é possível obter uma cópia da chave privada da sua instalação do Fiddler .

Certificado raiz

Você pediu ao Fiddler para instalar um certificado raiz no seu computador, o que permite que ele se insira como um homem no meio (MitM) para monitorar o conteúdo dos dados enviados por HTTPS:

Captura de tela de /superuser/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Por outro lado, veja como normalmente https://www.google.com/ é confiável:

Captura de tela da cadeia de segurança adequada do Google HTTPS

Seu computador confia no DO_NOT_TRUST_FiddlerRootcertificado porque foi instalado no armazenamento confiável de certificados do sistema operacional.

Proxy para interceptar HTTPS

Você indicou que o HTTPS se comporta corretamente no Mozilla Firefox, que pode ser configurado para usar suas próprias regras de proxy independentes, e não as regras de proxy do sistema operacional. O Google Chrome usa o proxy do sistema operacional sem uma opção fácil para fazer o contrário.

Passando pelo proxy no nível do sistema operacional do Fiddler, o Fiddler agora pode ser o MitM para capturar dados HTTPS não criptografados enquanto ainda atende o site. O Fiddler busca uma página da Web e a assina como "www.google.com" usando o certificado confiável anteriormente DO_NOT_TRUST_FiddlerRoot.

Nessas circunstâncias, o malware pode assumir o proxy e o certificado para alimentar o site errado e ainda mostrar o ícone de cadeado verde. Eu posso ver isso levando a ataques de phishing elaborados.

Preocupações com segurança

Relacionado ao Security Stack Exchange: Quais são os riscos à segurança dos fornecedores de software que implantam SSL Interceptando proxies nos desktops dos usuários

Como Eric Lawrence escreveu uma vez ,

Os recursos de interceptação HTTPS do Fiddler (com razão) despertam a atenção dos usuários preocupados com a segurança.

É por isso que o Fiddler alerta sobre as implicações de segurança da interceptação do tráfego HTTPS:

Captura de tela de um aviso interno do Fiddler

Por erro do usuário ou instalação de malware, o Fiddler foi associado a vários problemas:

Embora o próprio Fiddler não seja um programa prejudicial, seu uso indevido e mal-entendidos levaram a má reputação do passado e vírus fingindo ser o Fiddler .


Remoção

Não sei se o seu computador foi comprometido por algum seqüestrador do Fiddler, mas você indicou que não tem tempo para limpar o computador e reinstalá-lo. Portanto, esperamos que as etapas a seguir possam se livrar do Fiddler e restaurar o comportamento adequado da Web segura. (Eu ainda recomendaria reinstalar e alterar suas senhas posteriormente, especialmente se você for sério sobre segurança. Você escreveu que o Spybot - Search & Destroy encontrou algum malware.)

Prefácio: Desconfigurar o Fiddler

O pôster original descobriu essas etapas adicionais para resolver seu problema com o Fiddler:

Por fim, o que foi corrigido: Configurações -> Mostrar configurações avançadas -> Em rede -> Alterar configurações de proxy -> Avançado -> Redefinir

e

Também nas Configurações do Fiddler, desativei as opções, permitindo descriptografar o tráfego HTTPS antes de desinstalar e limpar novamente os certificados.

Remover certificado (s) raiz do violinista

  1. Pressione Win+r
  2. Aberto: certmgr.msc
  3. Examine todas as pastas e remova o DO_NOT_TRUST_FiddlerRootcertificado.

Desinstalar o Fiddler

  1. Vá para Painel de Controle »Programas» Programas e Recursos.
  2. Desinstale o Fiddler. Uma fonte diz que o Fiddler pode ser chamado de "FiddlerRoot" ou "BrowserSafeguard".

Limpar configurações de proxy

Supondo que você normalmente não use um proxy diferente…

  1. Vá para Painel de controle »Opções da Internet.
  2. Nas Propriedades da Internet, vá para a guia "Conexões".
  3. Em "Configurações da rede local (LAN)", clique em "Configurações da LAN".
  4. Limpe e desmarque as configurações de proxy da seguinte maneira: Captura de tela das configurações da rede local (LAN)

Remover malware

Conforme sugerido anteriormente no Superusuário , você deve tentar encontrar e remover o malware original que exibia as páginas HTTPS modificadas.

Conselho detalhado:
Como remover spyware, malware, adware, vírus, cavalos de Troia ou rootkits maliciosos do meu PC?

Deltik
fonte
Obrigado pela descrição detalhada. Não consigo acreditar que Fiddler é nefasto porque meus colegas e eu o usamos quase todos os dias por anos. Eu posso acreditar que outra coisa possivelmente se aproveitou do certificado FiddlerRoot. Eu sempre tive o Fiddler instalado e não fiz uma atualização recentemente, esse problema apareceu nos últimos dias. Se o Fiddler estivesse sendo nefasto, acho que não teria "DO_NOT_TRUST" no nome do certificado. Em última análise, o que fixa era: Configurações -> Mostrar configurações avançadas -> Em Rede -> Alterar configurações de proxy -> Avançado -> Redefinir
Derek Ziemba
Também certlm.msc não parece estar disponível no Win7. No entanto, eu removi todas as entradas de certificado do Fiddler usando certmgr.msc. Também nas Configurações do Fiddler, desativei as opções, permitindo descriptografar o tráfego HTTPS antes de desinstalar e limpar novamente os certificados. Se você editar sua postagem para incluir essas etapas ligeiramente diferentes, marcarei isso como a resposta, porque, em última análise, corrigiu o problema.
Derek Ziemba
@DerekZiemba: Indo apenas a várias queixas que encontrei sobre o Fiddler, não sabia o que era, mas agora que o procurei, vejo que deveria ser uma ferramenta legítima. Mudei minha resposta para torná-la menos acusatória e também para inserir os fatos corrigidos que você encontrou.
Deltik 02/02
2
Você está MUITO confuso sobre o Fiddler. O Fiddler é uma ferramenta de depuração da web. Não possui nenhum comportamento malicioso e nunca é instalado, a menos que você o instale pessoalmente usando o instalador baixado da Telerik. O cenário descrito aqui é um malware que tenta evitar a detecção, parecendo o Fiddler.
EricLaw
Olá @EricLaw. Sinto-me honrado por ter seu comentário oficial / oficial. A culpa é minha por não ter sido informado e ter dado um peso indevido contra o Violinista. Editei minha resposta para incluir sua opinião. Sinto muito pelo inconveniente. (Afinal, você está perto o suficiente para caminhar até mim e me dar um soco na cara!)
Deltik