“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问
近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持。
日前,360安全中心发现一个专门劫持主流搜索引擎和电商网站的HTTPS“劫匪”木马活跃度剧增。此木马使用“移花接木”大法,在中招电脑上导入虚假证书,以中间人攻击的方式突破HTTPS加密连接的安全防线,从而在受害用户访问一些大型网站时篡改页面插入广告。根据360网络安全研究院对全网数据的监测分析,HTTPS“劫匪”木马每天劫持的HTTPS访问量超过200万次。
HTTPS“劫匪”木马以色情播放器作为伪装,诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时,HTTPS劫匪木马会把连向站点的链接重新定向到本地的监听端口,木马在本地架设kanleweb server进行流量劫持,然后在对应页面插入一个js恶意脚本篡改页面,这种方法能够突破国内大量知名站点的HTTPS加密连接。
以下是360安全中心对HTTPS“劫匪”木马的详细分析
木马主要通过伪装色情播放器的方式进行推广,部分用户可能会被木马诱骗关闭安全软件而中招:
图1
木马在中招电脑安装kanleweb server,kangleweb通过配置,对下列域名进行了劫持:
图2
图3
并通过导入证书的方式实现中间人攻击:
图4
导入到系统的证书签发了大量域名:
图5
以搜索引擎为例,HTTPS劫匪木马会把搜索引擎原有的广告替换为木马关联的广告联盟ID的广告:
图6
图7
插入的用于做劫持的js:
图8
在电商网站中同样会加入劫持用的js:
图9
来自360网络安全研究院的数据显示,HTTPS劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求,近期达到日均超过200万次。
图10
由于HTTPS加密连接的网站往往会涉及重要的账号和数据,用户应对此类专门打劫HTTPS的恶意推广木马提高警惕,防止造成敏感数据泄露等更严重的损失。在下载软件时如果遇到安全软件报警提示木马病毒的情况,切勿关闭安全软件冒险运行木马。
图11
根据在线杀毒扫描平台VirusTotal的检测结果,360安全卫士是目前国内唯一能成功查杀该木马的安全软件。
图12