COMpfun继任者Reductor可以修改TLS流量

2019年4月，研究人员发现一款入侵加密web通信流量的恶意软件。通过分析该恶意软件，研究人员发现恶意软件的运营者可以对目标的网络信道有一定的控制，并可以用受感染的安装器来替换合法的安装器。因为一些样本中有残留的.pdb路径，因此研究人员将这些模块命名为Reductor。除了典型的RAT功能如上传、下载和执行文件， Reductor的作者还再Reductor中加入了操作数字证书的功能，并可以用唯一的与host相关的id来标记出TLS流量。Kaspersky研究人员发现该恶意软件样本与COMPfun木马代码有很高相似性。进一步研究后，研究人员认为该恶意软件也是COMPfun作者开发的。 如何在不接触流量的情况下标记TLS握手恶意软件在data section到目标主机之间添加了数字证书，允许运营者通过命名 ………………………………