“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问

释放双眼,带上耳机,听听看~!
“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问 近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持。 日前,360安全中心发现一个专门劫持主流搜索引擎

“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问

 

近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持。

 

日前,360安全中心发现一个专门劫持主流搜索引擎和电商网站的HTTPS“劫匪”木马活跃度剧增。此木马使用“移花接木”大法,在中招电脑上导入虚假证书,以中间人攻击的方式突破HTTPS加密连接的安全防线,从而在受害用户访问一些大型网站时篡改页面插入广告。根据360网络安全研究院对全网数据的监测分析,HTTPS“劫匪”木马每天劫持的HTTPS访问量超过200万次。

 

HTTPS“劫匪”木马以色情播放器作为伪装,诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时,HTTPS劫匪木马会把连向站点的链接重新定向到本地的监听端口,木马在本地架设kanleweb server进行流量劫持,然后在对应页面插入一个js恶意脚本篡改页面,这种方法能够突破国内大量知名站点的HTTPS加密连接。

 

以下是360安全中心对HTTPS“劫匪”木马的详细分析

 

木马主要通过伪装色情播放器的方式进行推广,部分用户可能会被木马诱骗关闭安全软件而中招:

 

1.jpg

 

 图1

木马在中招电脑安装kanleweb server,kangleweb通过配置,对下列域名进行了劫持:

2.png

图2

 

3.png

图3

 

并通过导入证书的方式实现中间人攻击:

4.png

图4

 

导入到系统的证书签发了大量域名:

5.png

图5

 

 

以搜索引擎为例,HTTPS劫匪木马会把搜索引擎原有的广告替换为木马关联的广告联盟ID的广告:

 

6.png

图6

 

 

7.png

图7

 

插入的用于做劫持的js:

8.png

图8

在电商网站中同样会加入劫持用的js:

 9.png

图9

 

 

来自360网络安全研究院的数据显示,HTTPS劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求,近期达到日均超过200万次。

10.png

 

图10

由于HTTPS加密连接的网站往往会涉及重要的账号和数据,用户应对此类专门打劫HTTPS的恶意推广木马提高警惕,防止造成敏感数据泄露等更严重的损失。在下载软件时如果遇到安全软件报警提示木马病毒的情况,切勿关闭安全软件冒险运行木马。

 

11.png

图11

 

根据在线杀毒扫描平台VirusTotal的检测结果,360安全卫士是目前国内唯一能成功查杀该木马的安全软件。

 

 

12.jpg图12

 

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

Xshell多版本被曝存在后门,了解紧急响应修复预案

2017-8-17 10:49:25

HackerNews

零时差漏洞威胁大剖析,暗中搞鬼平均潜伏至少5年

2017-8-17 12:16:06

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索