seerozha (seerozha) wrote,
seerozha
seerozha

ИТ: Локальный сниффер исходящего https-трафика

Не новое, но весьма элегантное решение. Действительно, "заморачиваться" с MITM-ами, DNS-poisoning-ом и переадресацией на "фишинговые" сайты гораздо более трудоёмкая задача
.
"

Стандартные банковские трояны извлекают конфиденциальную информацию с помощью фишинга или инъекций в поля форм на финансовых сайтах после того, как пользователь там авторизовался. Жертва думает, что вводит информацию для банковского перевода по нужному адресу, а в реальности совершается другая транзакция.

Emotet действует иначе. Он извлекает учётные данные непосредственно из HTTPS-трафика, с помощью встроенного снифера. Тот постоянно находится в памяти и отслеживает посещённые URL. Как только есть совпадение с финансовым ресурсом — начинается пакетный перехват по сетевым интерфейсам PR_OpenTcpSocket, PR_Write, PR_Close, PR_GetNameForIndentity, Closesocket, Connect,
Send и WsaSend.
"



Источник
Tags: ИБ, ИТ, хакеры
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 3 comments