「移花接木」偷換廣告：HTTPS劫匪木馬每天打劫200萬次網路訪問

近年來，國內各大網站逐漸升級為HTTPS加密連接，以防止網站內容被篡改、用戶數據被監聽。但是一向被認為「安全可靠」的HTTPS加密傳輸，其實也可以被木馬輕易劫持。

日前，360安全中心發現一個專門劫持主流搜索引擎和電商網站的HTTPS「劫匪」木馬活躍度劇增。此木馬使用「移花接木」大法，在中招電腦上導入虛假證書，以中間人攻擊的方式突破HTTPS加密連接的安全防線，從而在受害用戶訪問一些大型網站時篡改頁面插入廣告。根據360網路安全研究院對全網數據的監測分析，HTTPS「劫匪」木馬每天劫持的HTTPS訪問量超過200萬次。

HTTPS「劫匪」木馬以色情播放器作為偽裝，誘騙用戶關閉安全軟體後在電腦中隱蔽潛伏。當用戶訪問搜索、電商等知名網站時，HTTPS劫匪木馬會把連向站點的鏈接重新定向到本地的監聽埠，木馬在本地架設kanlewebserver進行流量劫持，然後在對應頁面插入一個js惡意腳本篡改頁面，這種方法能夠突破國內大量知名站點的HTTPS加密連接。

以下是360安全中心對HTTPS「劫匪」木馬的詳細分析

木馬主要通過偽裝色情播放器的方式進行推廣，部分用戶可能會被木馬誘騙關閉安全軟體而中招：

圖1

木馬在中招電腦安裝kanleweb server，kangleweb通過配置，對下列域名進行了劫持：

圖2

圖3

並通過導入證書的方式實現中間人攻擊：

圖4

導入到系統的證書籤發了大量域名：

圖5

以搜索引擎為例，HTTPS劫匪木馬會把搜索引擎原有的廣告替換為木馬關聯的廣告聯盟ID的廣告：

圖6

圖7

插入的用於做劫持的js：

圖8

在電商網站中同樣會加入劫持用的js:

圖9

來自360網路安全研究院的數據顯示，HTTPS劫匪木馬主要用於劫持控制的域名之一(erhaojie.com)的網路訪問請求，近期達到日均超過200萬次。

圖10

由於HTTPS加密連接的網站往往會涉及重要的賬號和數據，用戶應對此類專門打劫HTTPS的惡意推廣木馬提高警惕，防止造成敏感數據泄露等更嚴重的損失。在下載軟體時如果遇到安全軟體報警提示木馬病毒的情況，切勿關閉安全軟體冒險運行木馬。

圖11

根據在線殺毒掃描平台VirusTotal的檢測結果，360安全衛士是目前國內唯一能成功查殺該木馬的安全軟體。

圖12

*本文作者：360安全衛士，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！