首页 > 安全资讯 > 正文

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!

近年来,国内各大网站逐渐升级为HTTPS加密连接、甚至是全站HTTPS,以防止网站被篡改劫持、用户数据被监听等,在很大程度上提升了网站的安全性。但是一向被认为"安全可靠"的HTTPS安全传输协议也不是万能的,如果在客户端出现木马,也可被轻易劫持!

近期360互联网安全中心监测到一款专门劫持https的木马又开始活跃,在2017年,360互联网安全中心曾曝光过该病毒团伙,之后该团伙有所收敛,最近他们重出江湖,又开始大肆传播;来自360网络安全研究院的数据显示,HTTPS劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求,近日顶峰单日超过190万次。

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


传播:

传播方式主要通过"小电影"网站,以及广告位诱导用户安装:

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


劫持木马安装过程和之前版本没有太大区别,在此不再赘述。

《"移花接木"偷换广告:HTTPS劫匪木马每天打劫200万次网络访问》(https://www.freebuf.com/articles/system/144490.html)

危害:

劫持多达48个主流站点:

木马更新了导入其签发的证书,新增了15个域名,签发域名达到48个:

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


导入的证书及证书信息截图

符合域名规则的js文件请求,在js文件的尾部都会被插入用于劫持的js文件: hxxp://ssl.erhaojie.com/ssl/ba.js

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


Kangle Web后台看到的回应控制配置的劫持信息

劫持客户端新闻弹窗:

由于近年来软件弹mini新闻窗的风靡,软件作者也是新增了对mini窗页面的劫持,多个软件的mini窗均被劫持到带其推广ID的东方头条mini页面(http://mini.eastday.com/?qid=shxg, http://hot.eastday.com/mini065)

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


劫持mini页部分代码片断

微博账号刷粉:

此次木马还增加了微博账号自动加粉的功能,如果检测到用户电脑有登录微博则会对其内置的两个微博帐号进行自动点击添加关注:这两个微博粉丝均已超过7000个(其中一个帐号只发了4条微博),对比发现两个微博的粉丝基本相似,关注方式也基本一致;也能从侧面印证这两个微博帐号很大可能都是被通过这种方式添加的粉丝。

(一分钟看点)weibo.com/p/1005056585391017

(加V 看点新闻图)weibo.com/p/1005051729979622

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


劫持京东网页二维码:

将京东购物网站中,原本扫描安装京东客户端的二维码篡改为安装其推广软件!

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


劫持替换京东app的二维护码代码片断及截图

除上面介绍的两个恶意功能外,木马还能够:

1. 访问购物、导航、搜索等网站时,自动跳转带有作者推广号的网址。

2. 对访问的网站插入浮窗广告。

3. 替换掉原来网页中的广告内容。

4. 在搜索引擎的结果中插入广告。

由于这个恶意软件本身劫持功能做的不够精细,还会造成用户在访问网络时出现各种故障,比如:腾讯游戏的相关网站被劫持后,验证码输入窗口被跳转到东方头条网站,导致用户无法正常登录WeGame,如下图所示:

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


幕后作者:

分析过程中,我们发现这又是一起公司形式制作恶意软件的案例。

通过该劫持木马所用到的两个主要云控域名的备案信息及Whois信息,我们查出注册者为li**qun,邮箱为(30****28@qq.com) 公司为:深圳市**信息科技有限公司

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


备案信息显示,域名属于深圳某公司:

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


网站备案信息以及公司股权控制图

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


通过支付宝姓名验证也确认该邮箱对应的真实姓名为李*群

从搜索引擎搜索该QQ,也能看一些早年作者曾经发过网站备案相关的帖子以及制作过小电影网站的一些信息:

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


所有相关信息都指向同一主体:姓名(李*群)、及其公司:深圳市**信息科技有限公司、深圳****国际文化传播有限公司、手机1(158******69)、手机2(186******47)、QQ(30****28)、邮箱1(30****28@qq.com)、邮箱2(41*****84@qq.com);360互联网安全中心已将相关信息提交主管部门。

结语:

HTTPS的普及,很大程度上提升了网站的安全性,但HTTPS并不是万能的,也存在多种劫持和攻击的手段。近期更是有多款木马开始讲攻击目标锁定在https的站点上。现在绝大部分登录认证,支付过程等涉及用户敏感信息的操作均已经全部使用HTTPS的连接解决,针对HTTPS的劫持攻击,对用户的威胁也更大。用户和厂商也应格外注意此类型攻击。

对于此类木马,只要正常开启360安全卫士,遇到安全软件报警提示木马病毒的情况,不要冒险添加信任运行,就可以拦截此类木马攻击。

木马“打劫”HTTPS站点,新闻娱乐购物网站均遭殃!


IOCs:

d61c2b9ca4a6c6ba5f367198b2e1eb30

3a9c8b204fb373c312a48fc45fa74be0

f464f26332512fc075f3c088713205e4

4056f6af5ca4431316432a1a7256cab5

0cdb721b8f700718ef7c43b33625b1a9

5fa74f6e4edb21cc8b0b0bf489972dd0

044a3fd3d33716b4640e8d5bf6f46fd3

d0013f7df57ac1d4e39d4e2f77a3df03

8da5e77c08f41f69e5e5382ef3c4f5ae

a92da0aa9cb5363feac6cb202f7119b0

3653b0e6f4c3d11234e188af20c80afe

01d1d4d61a5bb66683f45021bfcd72ab

18d8904a87ee84c7c9b08f04d9f8af78

17fa808c4f1f04a4c88b2664279cfc9e

4489d822037c3bbd94432492310b8b20

6977abb77d7c8f6c85601a1c6a00c712

8be981f8e04d0aa79c35ce15765a5352

8ba90ee5cd218a1ca26d782d4a5ffd8c

1ba4bd672225969c890f4427e49cbea5

73bcfbee8c0b8212e7adb19b6291b06a

f80bc9373815909d18e162c197f84580

22b1e536e6383674d1a83ee045b21a5a

2e15c51f067fea6bf51dbae8579e9cfa

00b1228f86e58c2cc3fb26b263f89943

12f0fdb027df0f76281ce109d8d61108

87cdb7541c7855b66e1d40aeaffef98a

9eb112c78caf78e27fffb50f62e408e8

87243fab70d97ac1a065c2ce534d38be

d230383f64a0f23fa0c54e1787df9b74

e88ae015cc0034f000fcd984a4e2c914

71bcd52e9e4ec145973d53f2296a7ad7

3b6688d5c9759cee8feb59ab6fc05d51

26dda63da6218410e5468bff15b270db

036cdc3a5ca77b56e98c6e42852cb92c

3b9521f3c28a19b52a777601228fbd89

72825c26d689e443f7b727d3b7157cb0

7da92fbb13ec0d8d23aa44c38c829c42

06a0efc721951438e62f9d55f019024c

4c411e8475382f7a5327db3e9a3b212f

bbee2798a74d15f4e76000a3e138e10c

384a63b76e77351b389b505f44a7ebe9

04c8e301410689eeedaa87e269c56c3a

08cfb0455f3ec393a9af7046db350907

ef7f82befb9d710bb71c8fdb06e4e491

2b3e2f17d9a5b1c415f48f5a0c8b21cd

f730fee773c085e236a4906625386d6c

da6067e89b809a5af14ed04aa83d88bc

35a32851b718c95248d3caaec342ee53

202652a4f2620bbb6bf03fce4bb5f4e9

12c9af6100458b2ca5ee60af2fba75d3

abf028ec738cbc2a05f71a9c8b1c7fe7

dabf3f13fc934969cec78e931ad4866c

d26a0312dbd779c9016c4617a9527c7a

ce617ac4b66c3202569c887812d2e13a

1763e21708a38ad39c1e46aa32ad1a4b

7bcb7d39187c5f5606a9960cdcfba9cd

2be42b82e1f84868933f91a98eaa0f05

5412393c13ceb643c1aef28eb9a65f07

98610a0255d313cba72902938f1b


360安全卫士

热点排行

用户
反馈
返回
顶部