安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问

近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持。

日前,360安全中心发现一个专门劫持主流搜索引擎和电商网站的HTTPS“劫匪”木马活跃度剧增。此木马使用“移花接木”大法,在中招电脑上导入虚假证书,以中间人攻击的方式突破HTTPS加密连接的安全防线,从而在受害用户访问一些大型网站时篡改页面插入广告。根据360网络安全研究院对全网数据的监测分析,HTTPS“劫匪”木马每天劫持的HTTPS访问量超过200万次。

HTTPS“劫匪”木马以色情播放器作为伪装,诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时,HTTPS劫匪木马会把连向站点的链接重新定向到本地的监听端口,木马在本地架设kanlewebserver进行流量劫持,然后在对应页面插入一个js恶意脚本篡改页面,这种方法能够突破国内大量知名站点的HTTPS加密连接。

以下是360安全中心对HTTPS“劫匪”木马的详细分析

木马主要通过伪装色情播放器的方式进行推广,部分用户可能会被木马诱骗关闭安全软件而中招:

1.jpg

 图1

木马在中招电脑安装kanleweb server,kangleweb通过配置,对下列域名进行了劫持:

2.png

图2

3.png

图3

并通过导入证书的方式实现中间人攻击:

4.png

图4

导入到系统的证书签发了大量域名:

5.png

图5

以搜索引擎为例,HTTPS劫匪木马会把搜索引擎原有的广告替换为木马关联的广告联盟ID的广告:

6.png

图6

7.png

图7

插入的用于做劫持的js:

8.png

图8

在电商网站中同样会加入劫持用的js:

9.png

图9

来自360网络安全研究院的数据显示,HTTPS劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求,近期达到日均超过200万次。

10.png

图10

由于HTTPS加密连接的网站往往会涉及重要的账号和数据,用户应对此类专门打劫HTTPS的恶意推广木马提高警惕,防止造成敏感数据泄露等更严重的损失。在下载软件时如果遇到安全软件报警提示木马病毒的情况,切勿关闭安全软件冒险运行木马。

11.png

图11

根据在线杀毒扫描平台VirusTotal的检测结果,360安全卫士是目前国内唯一能成功查杀该木马的安全软件。

12.jpg

图12

*本文作者:360安全卫士,转载请注明FreeBuf.COM

未经允许不得转载:安全路透社 » “移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册