大約 10 年前業界開始提倡網站部署 HTTPS 加密連接，這樣可以避免網站或服務遭到中間人攻擊 (MitM) 而劫持流量，比如此前部分網絡運營商直接在用戶訪問網站時插入彈窗顯示賬戶餘額、提醒充值等就是通過劫持實現的。

藍點網大約也是在 10 年前部署 HTTPS 連接的，彼時還沒有免費的 HTTPS 證書，所以需要自己購買證書，一年期數字證書便宜的也得幾百塊錢，不過部署 HTTPS 後就可以大幅度降低被劫持的概率。

現在幾乎所有網站和服務都已經采用加密協議連接，但讓人無法理解的是，印度本土殺毒軟件 eScan 竟然從 2019 年開始就一直使用 HTTP 明文協議來提供更新。

eScan 使用 HTTP 明文協議推送軟件更新，然後有黑客就發現了機會，所謂最危險的地方就是最安全的地方，黑客在一款殺毒軟件的眼皮底下使用殺毒軟件本身的更新機製來投放病毒。

時間回到 2023 年 7 月：

捷克殺毒軟件開發商 AVAST 的研究人員注意到一款被其他研究人員稱為 GuptiMiner 的惡意軟件，該惡意軟件背後有著極其複雜的攻擊鏈路，並且還盯上了 eScan 的 HTTP 明文協議。

當 eScan 發起更新時複雜的攻擊鏈路就開始了，黑客首先執行中間人攻擊從而攔截 eScan 發往服務器發送的請求數據包，接著再通過偽造的服務器返回惡意數據包，返回的數據包也是 eScan 提供的更新，隻不過裏麵已經被插入了 GuptiMiner 惡意軟件。

當 eScan 接到返回的數據包並執行更新時，惡意軟件也被悄悄釋放並執行，顯然除了使用 HTTP 明文協議外，eScan 可能還沒有對數據包進行簽名或哈希校驗 (也可能是返回的數據包裏已經對哈希進行了修改)。

而這家殺毒軟件至少從 2019 年開始就一直使用 HTTP 明文協議提供更新，雖然無法證明黑客是什麽時候利用起來的，但劫持更新來感染設備應該持續好幾年了。

惡意軟件的目的：

比較搞笑的是這款惡意軟件使用複雜的攻擊鏈發起攻擊，但最終目的可能是挖礦，至少 AVAST 注意到 GuptiMiner 除了安裝多個後門程序外 (這屬於常規操作)，還釋放了 XMrig，這是一款 XMR 門羅幣開源挖礦程序，可以使用 CPU 執行挖礦。

至於其他惡意目的都屬於比較常規的，例如如果被感染的設備位於大型企業內網中，則會嚐試橫向傳播感染更多設備。

如何實現劫持的：

這個問題 AVAST 似乎也沒搞清楚，研究人員懷疑黑客通過某種手段破壞了目標網絡，從而將流量路由到惡意服務器。

AVAST 研究發現黑客去年放棄了使用 DNS 技術，使用一種名為 IP 掩碼的混淆技術取而代之，並且還會在被感染設備上安裝自定義的 ROOT TLS 證書，這樣就可以簽發任意證書實現各種連接都可以劫持。

AVAST 向印度 CERT 和 eScan 披露漏洞後，後者在 2023 年 7 月 31 日修複了漏洞，也就是換成了 HTTPS 加密協議。