流量劫持的種類手段有哪些
流量劫持的手段也層出不窮,從主頁配置篡改、hosts劫持、進程Hook、啟動劫持、LSP注入、瀏覽器插件劫持、http代理過濾、內核數據包劫持、bootkit等等不斷花樣翻新。或許從開機的一瞬間,流量劫持的故事就已經開始。那么你的流量都被劫持到哪里去了?是誰劫持了你的流量?下面一起看看流量劫持的種類手段。
流量劫持的種類手段有哪些
[1] 某軟件下拉加載主頁劫持插件
上圖就是我們在其中一款軟件中抓取到的主頁劫持模塊文件和更新數據包,可能你對數據包里這個域名不是很熟悉,但是提到“音速啟動”這款軟件相信安全圈內很多人都會有所了解,當年各大安全論壇的工具包基本上都是用它來管理配置的,伴隨了很多像本文作者這樣的三流小黑客的學習成長,所以分析這個樣本過程中還是有很多感觸的,當然這些木馬劫持行為可能和原作者沒有太大關系,聽說這款軟件在停止更新幾年后賣給了上海某科技公司,其旗下多款軟件產品都曾被發現過流氓劫持行為,感興趣的讀者可以自行百度,這里不再進行更多的披露。
正如前面的案例,一部分曾經的老牌軟件開始慢慢變質,離用戶漸行漸遠;另一方面,隨著最近幾年國內安全環境的轉變,之前流行的盜號、下載者、遠控等傳統木馬日漸式微,另外一大批披著正規軟件外衣的流氓也開始興起,他們的運作方式有以下幾個特點:
1.冒充正規軟件,但實際功能單一簡陋,有些甚至是空殼軟件,常見的諸如某某日歷、天氣預報、色播、輸入法等五花八門的偽裝形式,企圖借助這些正常功能的外衣逃避安全軟件的攔截,實現常駐用戶系統的目的。
2.背后行為與木馬病毒無異,其目的還是為了獲取推廣流量,如主頁鎖定,網頁劫持、廣告彈窗、流量暗刷、靜默安裝等等。而且其中很大一部分流氓軟件的惡意模塊和配置都通過云端進行下拉控制,可以做到分時段、分地區、分場景進行投放觸發。
[2] 某流氓軟件的云端控制后臺
3.變種速度比較快,屢殺不止,被安全軟件攔截清理后很快就會更換數字簽名,甚至換個軟件外殼包裝后卷土重來。這些數字簽名注冊的企業信息很多都是流氓軟件作者從其他渠道專門收購的。
[3]某流氓軟件1個月內多次更換數字簽名證書逃避安全軟件查殺
下面可以通過幾個典型案例了解下這些流氓軟件進行流量劫持的技術手法:
1)通過瀏覽器插件進行流量劫持的QTV系列變種,該樣本針對IE瀏覽器通過BHO插件在用戶網頁中注入JS腳本,針對chrome內核的瀏覽器利用漏洞繞過了部分瀏覽器插件的正常安裝步驟,通過篡改配置文件添加瀏覽器插件實現動態劫持。
[4]被靜默安裝到瀏覽器中的插件模塊,通過JS注入劫持網頁
通過注入JS腳本來劫持用戶網頁瀏覽的技術優點也很明顯,一方面注入的云端JS腳本比較靈活,可以隨時在云端控制修改劫持行為,另一方面對于普通用戶來說非常隱蔽,難以察覺。被注入用戶網頁的JS腳本的對網頁瀏覽中大部分的推廣流量都進行了劫持,如下圖:
[5] 在網頁中注入JS劫持推廣流量
2)下面這個“高清影視流氓病毒”案例是去年曾深入跟蹤的一個流氓病毒傳播團伙,該類樣本主要偽裝成播放器類的流氓軟件進行傳播,技術特點如下圖所示,大部分劫持模塊都是驅動文件,通過動態內存加載到系統內核,實現瀏覽器劫持、靜默推廣等病毒行為。
[6] “高清影視”木馬劫持流程簡圖
從木馬后臺服務器取證的文件來看,該樣本短期內傳播量非常大,單日高峰達到20w+,一周累計感染用戶超過100萬,安裝統計數據庫每天的備份文件都超過1G。
[7] “高清影視”木馬后臺服務器取證
2.持續活躍的廣告彈窗掛馬
提到流量劫持,不得不說到近2年時間內保持高度活躍的廣告彈窗掛馬攻擊案例,原本的廣告流量被注入了網頁木馬,以廣告彈窗等形式在客戶端觸發,這屬于一種變相的流量劫持,更確切的說應該稱之為“流量污染”或“流量投毒”,這里我們將其歸類為本地劫持。
近期掛馬利用的漏洞多為IE神洞(cve-2014-6332)和HackingTeam泄漏的多個Flash漏洞。通過網頁掛馬,流量劫持者將非常廉價的廣告彈窗流量轉化成了更高價格的安裝量,常見的CPM、CPV等形式的廣告流量每1000用戶展示只有幾元錢的成本,假設網頁掛馬的成功率有5%,這意味著劫持者獲取到20個用戶的安裝量,平均每個用戶靜默安裝5款軟件,劫持者的收益保守估計有50元,那么“廣告流量投毒”的利潤率就近10倍。這應該就是近兩年網頁掛馬事件頻發背后的最大源動力。
[8] 網頁木馬經常使用的IE神洞(CVE-2014-6332)
[9] 網頁木馬利用IE瀏覽器的res協議檢測國內主流安全軟件
這些廣告流量大多來自于軟件彈窗、色情站點、垃圾站群、運營商劫持量等等,其中甚至不乏很多知名軟件的廣告流量,從我們的監測數據中發現包括酷狗音樂、搜狐影音、電信管家、暴風影音、百度影音、皮皮影音等多家知名軟件廠商的廣告流量被曾被劫持掛馬。正是因為如此巨大的流量基數,所以一旦發生掛馬事件,受到安全威脅的用戶數量都是非常巨大的。
[10] 對利用客戶端彈窗掛馬的某病毒服務器取證發現的flash漏洞exp
據了解很多軟件廠商對自身廣告流量的管理監控都存在漏洞,有些甚至經過了多層代理分包,又缺乏統一有力的安全審核機制,導致被插入網頁木馬的“染毒流量”被大批推送到客戶端,最終導致用戶系統感染病毒。在樣本溯源過程中,我們甚至在某知名音樂軟件中發現一個專門用于暗刷廣告流量的子模塊。用戶越多責任越大,且行且珍惜。
[11] 2015年某次掛馬事件涉及的彈窗客戶端進程列表
[12] 對2015年度最活躍的某掛馬服務器的數據庫取證(高峰期每小時5k+的安裝量)
補充:校園網安全維護技巧
校園網絡分為內網和外網,就是說他們可以上學校的內網也可以同時上互聯網,大學的學生平時要玩游戲購物,學校本身有自己的服務器需要維護;
在大環境下,首先在校園網之間及其互聯網接入處,需要設置防火墻設備,防止外部攻擊,并且要經常更新抵御外來攻擊;
由于要保護校園網所有用戶的安全,我們要安全加固,除了防火墻還要增加如ips,ids等防病毒入侵檢測設備對外部數據進行分析檢測,確保校園網的安全;
外面做好防護措施,內部同樣要做好防護措施,因為有的學生電腦可能帶回家或者在外面感染,所以內部核心交換機上要設置vlan隔離,旁掛安全設備對端口進行檢測防護;
內網可能有ddos攻擊或者arp病毒等傳播,所以我們要對服務器或者電腦安裝殺毒軟件,特別是學校服務器系統等,安全正版安全軟件,保護重要電腦的安全;
對服務器本身我們要安全server版系統,經常修復漏洞及更新安全軟件,普通電腦一般都是撥號上網,如果有異常上層設備監測一般不影響其他電腦。做好安全防范措施,未雨綢繆。
相關閱讀:提高服務器安全性的技巧
1.經常更改系統管理員密碼。---->且密碼最好是大小寫都有
2.定期更新系統補丁。---->開啟自動更新,并設定到晚上重啟。
3.檢查系統是否多出超級管理員,檢查是否有帳號被克隆在“開始”>運行中輸入“cmd”>在輸入 net localgroup administrators
4.在“開始”>運行中輸入“msconfig”檢查隨機啟動的程序和服務,關掉不必要的隨機啟動程序和服務。
5.服務器上的所有程序盡量安裝程序的最新穩定版。
6.檢查SERVU是否被創建有執行權限的用戶或者對C盤有讀寫權限的用戶,并且給SERVU設置一個登錄密碼。如果需要請給serv_u設置獨立啟動賬戶。
7.不要隨意安裝任何的第三方軟件。例如XX優化軟件,XX插件之類的,更不要在服務器上注冊未知的組件。
8.不要隨意在服務器上使用IE訪問任何網站,杜絕隱患那是必須的。
9. 檢查系統日志的“安全性”條目,在右側查看近期“審核成功”的登錄
10.不要在服務器上雙擊運行任何程序,不然怎么中了木馬都不知道。
11.不要在服務器上用IE打開用戶的硬盤中的網頁,這是危險的行為。
12.不要在服務器上瀏覽圖片,以前windows就出過GDI 的安全漏洞。
13.及時的更新病毒庫,查殺病毒。
14.定時的查看系統各個盤符的磁盤權限,是否為設定的安全權限。
15.確保你自己的電腦安全,如果自己的電腦不安全,服務器也可能不太安全。
劫持攻擊相關文章:
4.年度十大病毒介紹