恶意软件可以改变浏览器访问的网站吗？

Question

我在今天的一次保安谈话中听到(我没有机会提问)：

发言者提到，他(两年前)注意到，给定计算机上可能存在的恶意软件的行为使用户通过浏览器访问合法URL时，恶意软件更改了需要访问的URL；因此地址栏中的URL保持不变，但访问的页面现在是恶意的。

有人能说出恶意软件是如何实现这一目标的吗?或者说今天这是可能的吗？恶意软件是否以某种方式拦截浏览器发送的请求？

Answer 1

要做到这一点，有几种方法：

• 充当代理或直接链接到浏览器的恶意软件(如使用浏览器扩展)可以更改站点本身的内容，也就是说，用户仍将访问原始站点，但内容将在传输过程中更改或通过脚本注入或类似方式在浏览器内更改。这种恶意软件经常用来投放广告。
• 通过更改DNS设置，它将返回攻击者控制的主机名IP地址，而不是真正的IP地址。这样，这些主机的所有通信量都会流向攻击者，攻击者可以提供不同的内容。DNS设置可以在计算机上更改，甚至在路由器上更改。在后一种情况下，本地网络中的所有系统都受到影响。有关详细示例，请参见https://nakedsecurity.sophos.com/2012/10/01/hacked-routers-brazil-vb2012/。
• 否则，受损的中间盒(路由器、防火墙、代理)也可用于更改或重定向通信量。

Answer 2

我还遇到了截取DNS请求的rootkit，并为nslookup等实用工具返回正确的结果，但浏览器的IP不一样。

还有一种可能是恶意软件修改您的/etc/hosts文件(或C：\Windows\System32 32\Driver\Etc\Hosts文件)。我最近没见过那么多，可能是因为它太容易发现和预防了。

Answer 3

当然，它是非常普遍的，并且是所有现代商业恶意软件特性集的一个标准部分，并且从ZeuS的第一个版本开始就已经很普遍了。通过合法的URL访问的页面通常是部分或完全动态修改的.

它通常是通过注入浏览器进程和连接WinAPI系统调用来实现的，这些调用包含原始的HTTP请求和响应数据。如果您感兴趣，这篇文章包含用于ZBot的钩端API调用的完整列表。

当然，注入到进程中意味着恶意软件应该经常针对特定的浏览器版本。恶意软件作者通常列出他们的产品可以注入的浏览器及其版本，并且经常在目标浏览器更新之后更新他们的恶意软件(如果他们想保持在市场的顶端)。

ZeuS及其各种修改、SpyEye和其他大多数具有“浏览器注入”功能的机器人都有一个非常有趣的特性:配置文件内置了一个小的“解析和替换语言”，允许恶意软件用户轻松地为特定页面配置HTTP响应的更改。

这种语言是基本的文本-替换内容:可以指定要修改的响应的URL或URL掩码，然后给出替换块的列表，每个块指定要插入的一些数据( "body")；原始响应中的数据，然后在原始响应中插入"body“和/或在原始响应中插入"body”。

用这种“语言”写成的康斯，被称为“注入”或“网络注入”，是他们自己的一个实际市场。以银行或在线支付系统为目标的写得很好的“网络注入”，加上自己写得很好的管理网络面板，可以卖到几百美元。

正如你所正确指出的，这主要用于钓鱼。然而，与常规的网络钓鱼不同的是，它更难识别。它也经常用于广告和点击欺诈。