大約 10 年前業界開始提倡網站部署 HTTPS 加密連接，度殺毒軟點網這樣可以避免網站或服務遭到中間人攻擊 (MitM) 而劫持流量，擊藍比如此前部分網絡運營商直接在用戶訪問網站時插入彈窗顯示賬戶余額、長期成都武侯高級資源vx《749-3814》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達提醒充值等就是使用通過劫持實現的。

藍點網大約也是協議在 10 年前部署 HTTPS 連接的，彼時還沒有免費的被黑 HTTPS 證書，所以需要自己購買證書，客用一年期數字證書便宜的發起也得幾百塊錢，不過部署 HTTPS 后就可以大幅度降低被劫持的中間概率。

現在幾乎所有網站和服務都已經采用加密協議連接，人攻但讓人無法理解的度殺毒軟點網是，印度本土殺毒軟件 eScan 竟然從 2019 年開始就一直使用 HTTP 明文協議來提供更新。擊藍

eScan 使用 HTTP 明文協議推送軟件更新，長期成都武侯高級資源vx《749-3814》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達然后有黑客就發現了機會，使用所謂最危險的協議地方就是最安全的地方，黑客在一款殺毒軟件的眼皮底下使用殺毒軟件本身的更新機制來投放病毒。

時間回到 2023 年 7 月：

捷克殺毒軟件開發商 AVAST 的研究人員注意到一款被其他研究人員稱為 GuptiMiner 的惡意軟件，該惡意軟件背后有著極其復雜的攻擊鏈路，并且還盯上了 eScan 的 HTTP 明文協議。

當 eScan 發起更新時復雜的攻擊鏈路就開始了，黑客首先執行中間人攻擊從而攔截 eScan 發往服務器發送的請求數據包，接著再通過偽造的服務器返回惡意數據包，返回的數據包也是 eScan 提供的更新，只不過里面已經被插入了 GuptiMiner 惡意軟件。

當 eScan 接到返回的數據包并執行更新時，惡意軟件也被悄悄釋放并執行，顯然除了使用 HTTP 明文協議外，eScan 可能還沒有對數據包進行簽名或哈希校驗 (也可能是返回的數據包里已經對哈希進行了修改)。

而這家殺毒軟件至少從 2019 年開始就一直使用 HTTP 明文協議提供更新，雖然無法證明黑客是什么時候利用起來的，但劫持更新來感染設備應該持續好幾年了。

惡意軟件的目的：

比較搞笑的是這款惡意軟件使用復雜的攻擊鏈發起攻擊，但最終目的可能是挖礦，至少 AVAST 注意到 GuptiMiner 除了安裝多個后門程序外 (這屬于常規操作)，還釋放了 XMrig，這是一款 XMR 門羅幣開源挖礦程序，可以使用 CPU 執行挖礦。

至于其他惡意目的都屬于比較常規的，例如如果被感染的設備位于大型企業內網中，則會嘗試橫向傳播感染更多設備。

如何實現劫持的：

這個問題 AVAST 似乎也沒搞清楚，研究人員懷疑黑客通過某種手段破壞了目標網絡，從而將流量路由到惡意服務器。

AVAST 研究發現黑客去年放棄了使用 DNS 技術，使用一種名為 IP 掩碼的混淆技術取而代之，并且還會在被感染設備上安裝自定義的 ROOT TLS 證書，這樣就可以簽發任意證書實現各種連接都可以劫持。

AVAST 向印度 CERT 和 eScan 披露漏洞后，后者在 2023 年 7 月 31 日修復了漏洞，也就是換成了 HTTPS 加密協議。

最新評論