這篇文章將為大家詳細(xì)講解有關(guān)SearchPageInstaller是什么，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

成都網(wǎng)站制作、做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設(shè)服務(wù)團(tuán)隊是一支充滿著熱情的團(tuán)隊，執(zhí)著、敏銳、追求更好，是創(chuàng)新互聯(lián)的標(biāo)準(zhǔn)與要求，同時竭誠為客戶提供服務(wù)是我們的理念。創(chuàng)新互聯(lián)把每個網(wǎng)站當(dāng)做一個產(chǎn)品來開發(fā)，精雕細(xì)琢，追求一名工匠心中的細(xì)致，我們更用心！

SearchPageInstaller（SPI）是一款惡意廣告軟件，它從2017年就已經(jīng)開始活躍了，不過在研究人員檢測到的最新樣本中，我們發(fā)現(xiàn)它開始使用mitmproxy了，而且這個版本已經(jīng)是好幾個月之前的版本了：

這款惡意軟件使用了一種新型的方法來通過廣告賺取收益，普通的惡意廣告軟件主要使用的是重定向瀏覽器頁面的方式，但SPI會向用戶搜索結(jié)果頁面的HTML代碼頂部注入惡意廣告。首先，攻擊者需要在受感染主機(jī)中啟用HTTP和HTTPS代理，系統(tǒng)設(shè)置中網(wǎng)絡(luò)管理面板的代理標(biāo)簽頁配置就是證據(jù)：

然后在命令行界面通過命令system_profiler SPNetworkDataType | grep 'Proxy Enabled'來啟用配置：

在對受SearchPageInstaller感染的Web頁面代碼進(jìn)行審計之后，我們可以看到SPI注入的惡意代碼，這里它會替換掉其他所有的廣告：

腳本源來自于chaumonttechnology.com，VirusTotal的兩個檢測引擎都已經(jīng)將該主機(jī)標(biāo)記為了惡意主機(jī)：

中間人攻擊

關(guān)于Web代理，SPI使用了mitmproxy（一款開源的HTTPS代理工具）和腳本inject.py來向Web頁面的代碼注入惡意腳本代碼：

這是因為mitmproxy能夠在客戶端與服務(wù)器端之間以“中間人”的形式來工作，然后通過創(chuàng)建偽造的證書來讓客戶端以為它就是服務(wù)器，讓服務(wù)器以為它就是客戶端。當(dāng)用戶不小心輸入了管理密碼之后，SPI的代碼將會自動安裝mitmproxy CA證書，下面是我們在macOS 10.14 Mojave上檢測到的攻擊場景：

授權(quán)之后，mitmproxy CA證書以及其他所需的證書都可以通過中間人攻擊來捕捉到，并且會全部寫入到隱藏的~/mitmproxy目錄中：

惡意軟件檢測

正如我們所看到的那樣，SearchPageInstaller啟動之后，它首先會嘗試獲取安裝新證書的權(quán)限。接下來，它會嘗試修改目標(biāo)主機(jī)上的網(wǎng)絡(luò)代理設(shè)置，這個操作需要管理員權(quán)限，因此它會彈出另一個認(rèn)證請求窗口：

下面給出的是整個攻擊的實現(xiàn)過程，我們可以看到惡意軟件創(chuàng)建的每一個進(jìn)程以及對應(yīng)的生成事件：

右側(cè)面板的放大視圖可以查看當(dāng)前選定的事件，比如說我們這里選中的就是mitmdump代碼執(zhí)行情況[20]，它是mitmproxy提供的命令行工具。

Mitmdump工具可以查看、記錄和發(fā)送HTTP流量。我們可以看到進(jìn)程調(diào)用inject.py腳本并向其提供參數(shù)。這些命令可以讓mitmproxy在通過HTTPS連接時忽略那些能夠匹配正則表達(dá)式的特定域名，這樣可以繞開那些采用了證書綁定保護(hù)機(jī)制的特定流量。

接下來，Mitmdump進(jìn)程會生成一個shell進(jìn)程[23]，并調(diào)用uname工具[21]來獲取目標(biāo)設(shè)備的架構(gòu)信息。

下面給出的是每一個進(jìn)程的網(wǎng)絡(luò)通信流量：

這樣一來，當(dāng)攻擊者拿到了目標(biāo)設(shè)備的基礎(chǔ)配置之后，就可以在感染完成或攻擊結(jié)束之后將目標(biāo)設(shè)備還原為之前的配置。

關(guān)于“SearchPageInstaller是什么”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。