专栏首页FreeBuf“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问

“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问

近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持。

日前,360安全中心发现一个专门劫持主流搜索引擎和电商网站的HTTPS“劫匪”木马活跃度剧增。此木马使用“移花接木”大法,在中招电脑上导入虚假证书,以中间人攻击的方式突破HTTPS加密连接的安全防线,从而在受害用户访问一些大型网站时篡改页面插入广告。根据360网络安全研究院对全网数据的监测分析,HTTPS“劫匪”木马每天劫持的HTTPS访问量超过200万次。

HTTPS“劫匪”木马以色情播放器作为伪装,诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时,HTTPS劫匪木马会把连向站点的链接重新定向到本地的监听端口,木马在本地架设kanlewebserver进行流量劫持,然后在对应页面插入一个js恶意脚本篡改页面,这种方法能够突破国内大量知名站点的HTTPS加密连接。

以下是360安全中心对HTTPS“劫匪”木马的详细分析

木马主要通过伪装色情播放器的方式进行推广,部分用户可能会被木马诱骗关闭安全软件而中招:

图1

木马在中招电脑安装kanleweb server,kangleweb通过配置,对下列域名进行了劫持:

图2
图3

并通过导入证书的方式实现中间人攻击:

图4

导入到系统的证书签发了大量域名:

图5

以搜索引擎为例,HTTPS劫匪木马会把搜索引擎原有的广告替换为木马关联的广告联盟ID的广告:

图6
图7

插入的用于做劫持的js:

图8

在电商网站中同样会加入劫持用的js:

图9

来自360网络安全研究院的数据显示,HTTPS劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求,近期达到日均超过200万次。

图10

由于HTTPS加密连接的网站往往会涉及重要的账号和数据,用户应对此类专门打劫HTTPS的恶意推广木马提高警惕,防止造成敏感数据泄露等更严重的损失。在下载软件时如果遇到安全软件报警提示木马病毒的情况,切勿关闭安全软件冒险运行木马。

图11

根据在线杀毒扫描平台VirusTotal的检测结果,360安全卫士是目前国内唯一能成功查杀该木马的安全软件。

图12

本文分享自微信公众号 - FreeBuf(freebuf),作者:360安全卫士

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-08-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 揭秘:针对中国移动用户的强大网银木马剖析

    我们最近遇到一个安卓平台的网银木马,该木马主要瞄向中国的移动用户,检出率很低。该安卓木马能够拦截短信并寻找特定的关键字,盗取用户网银信息。此外,它还会从用户的移...

    FB客服
  • 来自云端的木马:“百家”木马集团分析

    0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

    FB客服
  • 一款隐藏嵌入式Rookit的DDoS木马分析

    该款木马分析文章在2015年由@PETER KÁLNAI 最先发表于AVAST的公开blog中,木马的架构严谨,设计精良,应该是产业化的一部分。接下来我们就来看...

    FB客服
  • Fast Refresh 原理剖析

    关注「前端向后」微信公众号,你将收获一系列「用心原创」的高质量技术文章,主题包括但不限于前端、Node.js以及服务端技术

    ayqy贾杰
  • 新冠病毒Logistic增长模型:中国+钻石公主号游轮

    Rimmer 博士是一位退休的心脏病专家,自1988年以来一直使用Mathematica。他对数学统计,金融市场,全球定位系统,信息知识和医学感兴趣;他在 Ma...

    WolframChina
  • 美图15号敲钟,李开复说它是顶级人工智能公司,这是怎么回事?

    12月15日,美图将在香港敲钟,成为港交所在腾讯之后的第二大互联网IPO,目前,美图已明确定价为8.5港元,符合之前的市场预期。保守的定价原因在于市场上缺少美图...

    罗超频道
  • 【Redis】349- Redis 入门指南

    Redis 是速度非常快的非关系型(NoSQL)内存键值数据库,可以存储键和五种不同类型的值之间的映射。

    pingan8787
  • SYSAUX表空间管理及恢复

    SYSAUX表空间是在10g之后引入的一个新的表空间,主要用于减轻对SYSTEM表空间的压力而作为SYSTEM表空间的辅助表空间。

    Leshami
  • 使用Python编写数独游戏自动出题程序

    数独是一个很好玩的游戏,可以锻炼推理能力。下面的代码可以自动生成数独游戏题目。 from random import shuffle, randrange de...

    Python小屋屋主
  • Redis教程08(ZSet有序集合介绍)

    有序集合和集合一样也是string类型元素的集合,且不允许重复的成员。 不同的是每个元素都会关联一个double类型的分数。redis正是通过分数来为集合中的...

    用户4919348

扫码关注云+社区

领取腾讯云代金券