當前位置:
首頁 > 新聞 > 「移花接木」偷換廣告:HTTPS劫匪木馬每天打劫200萬次網路訪問

「移花接木」偷換廣告:HTTPS劫匪木馬每天打劫200萬次網路訪問

近年來,國內各大網站逐漸升級為HTTPS加密連接,以防止網站內容被篡改、用戶數據被監聽。但是一向被認為「安全可靠」的HTTPS加密傳輸,其實也可以被木馬輕易劫持。


日前,360安全中心發現一個專門劫持主流搜索引擎和電商網站的HTTPS「劫匪」木馬活躍度劇增。此木馬使用「移花接木」大法,在中招電腦上導入虛假證書,以中間人攻擊的方式突破HTTPS加密連接的安全防線,從而在受害用戶訪問一些大型網站時篡改頁面插入廣告。根據360網路安全研究院對全網數據的監測分析,HTTPS「劫匪」木馬每天劫持的HTTPS訪問量超過200萬次。


HTTPS「劫匪」木馬以色情播放器作為偽裝,誘騙用戶關閉安全軟體後在電腦中隱蔽潛伏。當用戶訪問搜索、電商等知名網站時,HTTPS劫匪木馬會把連向站點的鏈接重新定向到本地的監聽埠,木馬在本地架設kanlewebserver進行流量劫持,然後在對應頁面插入一個js惡意腳本篡改頁面,這種方法能夠突破國內大量知名站點的HTTPS加密連接。

以下是360安全中心對HTTPS「劫匪」木馬的詳細分析


木馬主要通過偽裝色情播放器的方式進行推廣,部分用戶可能會被木馬誘騙關閉安全軟體而中招:



圖1


木馬在中招電腦安裝kanleweb server,kangleweb通過配置,對下列域名進行了劫持:



圖2



圖3


並通過導入證書的方式實現中間人攻擊:


圖4


導入到系統的證書籤發了大量域名:



圖5


以搜索引擎為例,HTTPS劫匪木馬會把搜索引擎原有的廣告替換為木馬關聯的廣告聯盟ID的廣告:



圖6



圖7

插入的用於做劫持的js:



圖8


在電商網站中同樣會加入劫持用的js:



圖9


來自360網路安全研究院的數據顯示,HTTPS劫匪木馬主要用於劫持控制的域名之一(erhaojie.com)的網路訪問請求,近期達到日均超過200萬次。



圖10


由於HTTPS加密連接的網站往往會涉及重要的賬號和數據,用戶應對此類專門打劫HTTPS的惡意推廣木馬提高警惕,防止造成敏感數據泄露等更嚴重的損失。在下載軟體時如果遇到安全軟體報警提示木馬病毒的情況,切勿關閉安全軟體冒險運行木馬。


圖11


根據在線殺毒掃描平台VirusTotal的檢測結果,360安全衛士是目前國內唯一能成功查殺該木馬的安全軟體。



圖12


*本文作者:360安全衛士,轉載請註明FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

《網路安全法》執法案例匯總
一周「BUF大事件」:2017CSS中國互聯網安全領袖峰會舉行;暴雪娛樂遊戲遭DDoS攻擊
特別企劃 | 國內外頂級漏洞賞金計劃
網吧營銷大師投放「QQ部落刷粉」病毒
BoopSuite:基於Python編寫的無線安全審計套件

TAG:FreeBuf |

您可能感興趣

NBA血賺的交易:雷霆為省500萬棄哈登,火箭趁火打劫大賺
火箭又一大交易被截胡!勇士剋星首輪簽+CBA名將,打劫10+4+5巨星
趁火打劫!6000萬買了2艘航母,還白討來30多架艦載機
NBA今夏最強「打劫」操作,1.2億到200萬加盟掘金,球迷:賠大了!
大交易!皇馬購英超第1王牌,對手趁火打劫:阿森西奧+1.5億來換
一代悍匪,23歲搶劫,28歲越獄,10分鐘打劫5家金店,拿AK掃射警察
小伙5年騎單車游27國 一天被打劫5次
趁火打劫?尤文鐵杆老闆想用3.3億歐元拿下米蘭七成股份
快船2400萬與路威完成續約,網評:這簡直是在打劫!
火箭兩棄將1.9億壓垮15億喬丹!騎士趁機打劫領袖
他從小內向,17歲偷渡香港,25歲持AK47瘋狂打劫,女兒成清華學霸
自家商船被打劫,5000噸戰艦炮轟10分鐘,結局萬萬沒想到
趁火打劫?美軍欲加購150架F35,借中俄軍演坑預算
他持AK47打劫大佬牌館,死傷19人,黑道出比警方多5倍賞金緝拿他
莫雷打劫犯?14分+鎖死湯普森,哈登大讚這名200萬球員
第一個拿AK47打劫的悍匪:策划過李嘉誠長子綁架案 懸賞金達百萬
還有後續?火箭隊「打劫」交易節省1130W!莫雷下個操作已在路上!
打劫最快的2大悍匪:一個10分鐘搶5間金行,一個6分鐘搶走1.7億!
泰晤士報:曼聯5000萬鎖定尤文邊後衛!傳皇馬將趁火打劫藍軍門神
香港三大賊王,他拿AK47打劫,他綁架李澤鉅,而他應該2029年出獄