HTTPS的安全性存在於瀏覽器和網(wǎng)站之間的資訊交換，以加密防護(hù)使第三方不得存取。卡巴斯基研究人員4月發(fā)現(xiàn)一只被稱為Reductor的遠(yuǎn)端存取木馬（RAT）程式，則是用來突破這段防護(hù)。

　　Reductor包含兩階段攻擊面向。第一是利用名為COMPfun惡意程式下載軟件模組到受害系統(tǒng)上，COMPfun和俄羅斯APT黑客組織Turla有關(guān)。攻擊第二階段則發(fā)生在當(dāng)受害PC從其他合法網(wǎng)站下載軟件過程中。研究人員相信攻擊者有能力在合法軟件下載途中加入惡意元件，以致於抵達(dá)PC時已帶有惡意程式。因此研究人員認(rèn)為Reductor背後的黑客組織，已經(jīng)可控制受害者的網(wǎng)絡(luò) 通道。

　　當(dāng)Reductor植入受害系統(tǒng)時，能變造已安裝的數(shù)位憑證、并修改PC瀏覽器（包括Chrome或Firefox）的「偽隨機(jī)數(shù)生成器」（pseudo-random number generation，PRNG）元件。PRNG用途是在瀏覽器和HTTPS網(wǎng)站進(jìn)行TLS交握時，產(chǎn)生亂數(shù)以便加密主機(jī)和用戶端間的流量。

　　研究人員指出，這也是Reductor厲害之處，因為他們完全沒有動到網(wǎng)絡(luò) 封包，而是分析Firefox程式碼及Chrome的二進(jìn)位碼，在行程記憶體中加上相應(yīng)的PRNG函式，對每道HTTPS流量加上獨特軟、硬件辨識碼，這個過程被稱為patch。當(dāng)瀏覽器被patch之後，PRNG產(chǎn)生的數(shù)值變得不那麼隨機(jī)，黑客就得以接收及辨識所有從瀏覽器存取的資訊和行為。過程中受害者無從察覺，讓攻擊者得以長期監(jiān)控而不被發(fā)現(xiàn)。

　　研究人員表示這類對瀏覽器加密動手腳的攻擊手法也是現(xiàn)所首見，雖然他們尚無法斷定Reductor背後攻擊者身份，但以其技術(shù)之高明判斷，應(yīng)該也是國家支持的黑客組織所為。研究人員呼吁所有企業(yè)小心為上，確保敏感資料的安全性。