近年来,国内各大网站逐渐升级为http加密连接、甚至是全站http,以防止网站被篡改劫持、用户数据被监听等,在很大程度上提升了网站的安全性。但是一向被认为"安全可靠"的http安全传输协议也不是万能的,如果在客户端出现木马,也可被轻易劫持!
近期360互联网安全中心监测到一款专门劫持http的木马又开始活跃,在2017年,360互联网安全中心曾曝光过该病毒团伙,之后该团伙有所收敛,最近他们重出江湖,又开始大肆传播;来自360网络安全研究院的数据显示,http劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求,近日顶峰单日超过190万次。
传播:传播方式主要通过"小电影"网站,以及广告位诱导用户安装:
劫持木马安装过程和之前版本没有太大区别,在此不再赘述。
《"移花接木"偷换广告:http劫匪木马每天打劫200万次网络访问》(http://www.freebuf.com/articles/system/144490.html)
危害:劫持多达48个主流站点:
木马更新了导入其签发的证书,新增了15个域名,签发域名达到48个:
导入的证书及证书信息截图
符合域名规则的js文件请求,在js文件的尾部都会被插入用于劫持的js文件: hxxp://ssl.erhaojie.com/ssl/ba.js
Kangle Web后台看到的回应控制配置的劫持信息
劫持客户端新闻弹窗:
由于近年来软件弹mini新闻窗的风靡,软件作者也是新增了对mini窗页面的劫持,多个软件的mini窗均被劫持到带其推广ID的东方头条mini页面(http://mini.eastday.com/?qid=shxg, http://hot.eastday.com/mini065)
劫持mini页部分代码片断
微博账号刷粉:
此次木马还增加了微博账号自动加粉的功能,如果检测到用户电脑有登录微博则会对其内置的两个微博帐号进行自动点击添加关注:这两个微博粉丝均已超过7000个(其中一个帐号只发了4条微博),对比发现两个微博的粉丝基本相似,关注方式也基本一致;也能从侧面印证这两个微博帐号很大可能都是被通过这种方式添加的粉丝。
(一分钟看点)weibo.com/p/1005056585391017
(加V 看点新闻图)weibo.com/p/1005051729979622
劫持京东网页二维码:
将京东购物网站中,原本扫描安装京东客户端的二维码篡改为安装其推广软件!
劫持替换京东app的二维护码代码片断及截图
除上面介绍的两个恶意功能外,木马还能够:
1. 访问购物、导航、搜索等网站时,自动跳转带有作者推广号的网址。
2. 对访问的网站插入浮窗广告。
3. 替换掉原来网页中的广告内容。
4. 在搜索引擎的结果中插入广告。
由于这个恶意软件本身劫持功能做的不够精细,还会造成用户在访问网络时出现各种故障,比如:腾讯游戏的相关网站被劫持后,验证码输入窗口被跳转到东方头条网站,导致用户无法正常登录WeGame,如下图所示:
幕后作者:
分析过程中,我们发现这又是一起公司形式制作恶意软件的案例。
通过该劫持木马所用到的两个主要云控域名的备案信息及Whois信息,我们查出注册者为li**qun,邮箱为(30****28@qq.com) 公司为:深圳市**信息科技有限公司
备案信息显示,域名属于深圳某公司:
网站备案信息以及公司股权控制图
通过支付宝姓名验证也确认该邮箱对应的真实姓名为李*群
从搜索引擎搜索该QQ,也能看一些早年作者曾经发过网站备案相关的帖子以及制作过小电影网站的一些信息:
所有相关信息都指向同一主体:姓名(李*群)、及其公司:深圳市**信息科技有限公司、深圳****国际文化传播有限公司、手机1(158******69)、手机2(186******47)、QQ(30****28)、邮箱1(30****28@qq.com)、邮箱2(41*****84@qq.com);360互联网安全中心已将相关信息提交主管部门。
结语:http的普及,很大程度上提升了网站的安全性,但http并不是万能的,也存在多种劫持和攻击的手段。近期更是有多款木马开始讲攻击目标锁定在http的站点上。现在绝大部分登录认证,支付过程等涉及用户敏感信息的操作均已经全部使用http的连接解决,针对http的劫持攻击,对用户的威胁也更大。用户和厂商也应格外注意此类型攻击。
对于此类木马,只要正常开启360安全卫士,遇到安全软件报警提示木马病毒的情况,不要冒险添加信任运行,就可以拦截此类木马攻击。
IOCs:
d61c2b9ca4a6c6ba5f367198b2e1eb30
3a9c8b204fb373c312a48fc45fa74be0
f464f26332512fc075f3c088713205e4
4056f6af5ca4431316432a1a7256cab5
0cdb721b8f700718ef7c43b33625b1a9
5fa74f6e4edb21cc8b0b0bf489972dd0
044a3fd3d33716b4640e8d5bf6f46fd3
d0013f7df57ac1d4e39d4e2f77a3df03
8da5e77c08f41f69e5e5382ef3c4f5ae
a92da0aa9cb5363feac6cb202f7119b0
3653b0e6f4c3d11234e188af20c80afe
01d1d4d61a5bb66683f45021bfcd72ab
18d8904a87ee84c7c9b08f04d9f8af78
17fa808c4f1f04a4c88b2664279cfc9e
4489d822037c3bbd94432492310b8b20
6977abb77d7c8f6c85601a1c6a00c712
8be981f8e04d0aa79c35ce15765a5352
8ba90ee5cd218a1ca26d782d4a5ffd8c
1ba4bd672225969c890f4427e49cbea5
73bcfbee8c0b8212e7adb19b6291b06a
f80bc9373815909d18e162c197f84580
22b1e536e6383674d1a83ee045b21a5a
2e15c51f067fea6bf51dbae8579e9cfa
00b1228f86e58c2cc3fb26b263f89943
12f0fdb027df0f76281ce109d8d61108
87cdb7541c7855b66e1d40aeaffef98a
9eb112c78caf78e27fffb50f62e408e8
87243fab70d97ac1a065c2ce534d38be
d230383f64a0f23fa0c54e1787df9b74
e88ae015cc0034f000fcd984a4e2c914
71bcd52e9e4ec145973d53f2296a7ad7
3b6688d5c9759cee8feb59ab6fc05d51
26dda63da6218410e5468bff15b270db
036cdc3a5ca77b56e98c6e42852cb92c
3b9521f3c28a19b52a777601228fbd89
72825c26d689e443f7b727d3b7157cb0
7da92fbb13ec0d8d23aa44c38c829c42
06a0efc721951438e62f9d55f019024c
4c411e8475382f7a5327db3e9a3b212f
bbee2798a74d15f4e76000a3e138e10c
384a63b76e77351b389b505f44a7ebe9
04c8e301410689eeedaa87e269c56c3a
08cfb0455f3ec393a9af7046db350907
ef7f82befb9d710bb71c8fdb06e4e491
2b3e2f17d9a5b1c415f48f5a0c8b21cd
f730fee773c085e236a4906625386d6c
da6067e89b809a5af14ed04aa83d88bc
35a32851b718c95248d3caaec342ee53
202652a4f2620bbb6bf03fce4bb5f4e9
12c9af6100458b2ca5ee60af2fba75d3
abf028ec738cbc2a05f71a9c8b1c7fe7
dabf3f13fc934969cec78e931ad4866c
d26a0312dbd779c9016c4617a9527c7a
ce617ac4b66c3202569c887812d2e13a
1763e21708a38ad39c1e46aa32ad1a4b
7bcb7d39187c5f5606a9960cdcfba9cd
2be42b82e1f84868933f91a98eaa0f05
5412393c13ceb643c1aef28eb9a65f07
98610a0255d313cba72902938f1b
,