[21] 通過(guò)流量劫持推廣的“偽色播”病毒APP行為流程簡(jiǎn)圖

從這個(gè)案例中我們也可以看出，移動(dòng)端“劫持流量”很重要的一個(gè)出口就是“偽色情”誘導(dǎo)，這些病毒app基本上都是通過(guò)短信暗扣、誘導(dǎo)支付、廣告彈窗、流量暗刷以及推廣安裝等手段實(shí)現(xiàn)非法牟利。這條移動(dòng)端的灰色產(chǎn)業(yè)鏈在近兩年已經(jīng)發(fā)展成熟，“色播”類樣本也成為移動(dòng)端中感染量最大的惡意app家族分類之一。

[22] “偽色播”病毒APP進(jìn)行誘導(dǎo)推廣 

這些“偽色播”病毒app安裝以后除了各種廣告推廣行為外，還會(huì)在后臺(tái)偷偷發(fā)送短信去定制多種運(yùn)營(yíng)商付費(fèi)業(yè)務(wù)，并且對(duì)業(yè)務(wù)確認(rèn)短信進(jìn)行自動(dòng)回復(fù)和屏蔽，防止用戶察覺(jué)；有些還集成了第三方支付的SDK，以VIP充值等方式誘導(dǎo)用戶付費(fèi)，用戶到頭來(lái)沒(méi)看到想要的“福利”不說(shuō)，吃了黃連也只能是有苦難言。

[23] 某“偽色播”病毒app通過(guò)短信定制業(yè)務(wù)進(jìn)行扣費(fèi)的接口數(shù)據(jù)包

[24]病毒app自動(dòng)回復(fù)并屏蔽業(yè)務(wù)短信，防止用戶察覺(jué)

以其中某個(gè)專門做“色播誘導(dǎo)”業(yè)務(wù)的廣告聯(lián)盟為例，其背后的推廣渠道多達(dá)數(shù)百個(gè)，每年用于推廣結(jié)算的財(cái)務(wù)流水超過(guò)5000w元。從其旗下的某款色播病毒app的管理后臺(tái)來(lái)看，短短半年內(nèi)扣費(fèi)訂單數(shù)據(jù)超過(guò)100w條，平均每個(gè)用戶扣費(fèi)金額從6~20元不等，拋開(kāi)其他的流氓推廣收益，僅扣費(fèi)這一項(xiàng)的半年收益總額就過(guò)百萬(wàn)，而這只是海量“偽色播”病毒樣本中的一個(gè)，那整個(gè)產(chǎn)業(yè)鏈的暴利收益可想而知。

[25] 某“偽色播”病毒app的扣費(fèi)統(tǒng)計(jì)后臺(tái)

[26] 某“偽色播”病毒app扣費(fèi)通道的數(shù)據(jù)存儲(chǔ)服務(wù)器

3.DNS劫持

路由器作為億萬(wàn)用戶網(wǎng)絡(luò)接入的基礎(chǔ)設(shè)備，其安全的重要性不言而喻。最近兩年曝光的路由器漏洞、后門等案例比比皆是，主流路由器品牌基本上無(wú)一漏網(wǎng)。雖然部分廠商發(fā)布了修復(fù)補(bǔ)丁固件，但是普通用戶很少會(huì)主動(dòng)去更新升級(jí)路由器系統(tǒng)，所以路由器漏洞危害的持續(xù)性要遠(yuǎn)高于普通PC平臺(tái)；另一方面，針對(duì)路由器的安全防護(hù)也一直是傳統(tǒng)安全軟件的空白點(diǎn)，用戶路由器一旦中招往往無(wú)法察覺(jué)。

國(guó)內(nèi)外針對(duì)路由器的攻擊事件最近兩年也非常頻繁，我們目前發(fā)現(xiàn)的攻擊方式主要分為兩大類，一類是利用漏洞或后門獲取路由器系統(tǒng)權(quán)限后種植僵尸木馬，一般以ddos木馬居多，還兼容路由器常見(jiàn)的arm、mips等嵌入式平臺(tái)；另一類是獲取路由器管理權(quán)限后篡改默認(rèn)的DNS服務(wù)器設(shè)置，通過(guò)DNS劫持用戶流量，一般用于廣告刷量、釣魚(yú)攻擊等。

[27] 兼容多平臺(tái)的路由器DDOS木馬樣本

下面這個(gè)案例是我們近期發(fā)現(xiàn)的一個(gè)非常典型的dns劫持案例，劫持者通過(guò)路由器漏洞劫持用戶DNS，在用戶網(wǎng)頁(yè)中注入JS劫持代碼，實(shí)現(xiàn)導(dǎo)航劫持、電商廣告劫持、流量暗刷等。從劫持代碼中還發(fā)現(xiàn)了針對(duì)d-link、tp-link、zte等品牌路由器的攻擊代碼，利用CSRF漏洞篡改路由器DNS設(shè)置。

[28] 路由器DNS流量劫持案例簡(jiǎn)圖

[29] 針對(duì)d-link、tp-link、zte等品牌路由器的攻擊代碼

被篡改的惡意DNS會(huì)劫持常見(jiàn)導(dǎo)航站的靜態(tài)資源域名，例如s0.hao123img.com、s0.qhimg.com等，劫持者會(huì)在網(wǎng)頁(yè)引用的jquery庫(kù)中注入JS代碼，以實(shí)現(xiàn)后續(xù)的劫持行為。由于頁(yè)面緩存的原因，通過(guò)JS緩存投毒還可以實(shí)現(xiàn)長(zhǎng)期隱蔽劫持。

[30] 常見(jiàn)的導(dǎo)航站點(diǎn)域名被劫持

[31] 網(wǎng)站引用的jquery庫(kù)中被注入惡意代碼

被注入頁(yè)面的劫持代碼多用來(lái)進(jìn)行廣告暗刷和電商流量劫持，從發(fā)現(xiàn)的數(shù)十個(gè)劫持JS文件代碼的歷史變化中，可以看出作者一直在不斷嘗試測(cè)試改進(jìn)不同的劫持方式。

[32] 劫持代碼進(jìn)行各大電商廣告的暗刷

[33] 在網(wǎng)頁(yè)中注入CPS廣告，跳轉(zhuǎn)到自己的電商導(dǎo)流平臺(tái)

我們對(duì)劫持者的流量統(tǒng)計(jì)后臺(tái)進(jìn)行了簡(jiǎn)單的跟蹤，從51la的數(shù)據(jù)統(tǒng)計(jì)來(lái)看，劫持流量還是非常驚人的，日均PV在200w左右，在2015年末的高峰期甚至達(dá)到800w左右，劫持者的暴利收益不難想象。

[34] DNS流量劫持者使用的51啦統(tǒng)計(jì)后臺(tái)

最近兩年DNS劫持活動(dòng)非常頻繁，惡意DNS數(shù)量增長(zhǎng)也非常迅速，我們監(jiān)測(cè)到的每年新增惡意DNS服務(wù)器就多達(dá)上百個(gè)。針對(duì)路由器的劫持攻擊案例也不僅僅發(fā)生在國(guó)內(nèi)，從蜜罐系統(tǒng)和小范圍漏洞探測(cè)結(jié)果中，我們也捕獲到了多起全球范圍內(nèi)的路由器DNS攻擊案例。

[35] DNS流量劫持者使用的51啦統(tǒng)計(jì)后臺(tái)

[36] 在國(guó)外地區(qū)發(fā)現(xiàn)的一例路由器CSRF漏洞“全家桶”，被利用的攻擊playload多達(dá)20多種

下面的案例是2016年初我們的蜜罐系統(tǒng)捕獲到一類針對(duì)路由器漏洞的掃描攻擊，隨后我們嘗試進(jìn)行溯源和影響評(píng)估，在對(duì)某鄰國(guó)的部分活躍IP段進(jìn)行小范圍的掃描探測(cè)后，發(fā)現(xiàn)大批量的路由器被暴露在外網(wǎng)，其中存在漏洞的路由器有30%左右被篡改了DNS設(shè)置。

拋開(kāi)劫持廣告流量牟利不談，如果要對(duì)一個(gè)國(guó)家或地區(qū)的網(wǎng)絡(luò)進(jìn)行大批量的滲透或破壞，以目前路由器的千瘡百孔安全現(xiàn)狀，無(wú)疑可以作為很適合的一個(gè)突破口，這并不是危言聳聽(tīng)。

如下圖中漏洞路由器首選DNS被設(shè)置為劫持服務(wù)器IP，備選DNS服務(wù)器設(shè)為谷歌公共DNS(8.8.8.8)。

[37] 鄰國(guó)某網(wǎng)段中大量存在漏洞的路由器被劫持DNS設(shè)置

[38] 各種存在漏洞的路由器被劫持DNS設(shè)置

4.神秘劫持

以一個(gè)神秘的劫持案例作為故事的結(jié)尾，在工作中曾經(jīng)陸續(xù)遇到過(guò)多次神秘樣本，仿佛是隱藏在層層網(wǎng)絡(luò)中的黑暗幽靈，不知道它從哪里來(lái)，也不知道它截獲的信息最終流向哪里，留給我們的只有迷一般的背影。

這批迷一樣的樣本已經(jīng)默默存活了很久，我們捕獲到早期變種可以追溯到12年左右。下面我們先把這個(gè)迷的開(kāi)頭補(bǔ)充下，這些樣本絕大多數(shù)來(lái)自于某些可能被劫持的網(wǎng)絡(luò)節(jié)點(diǎn)，請(qǐng)靜靜看圖。

[39] 某軟件升級(jí)數(shù)據(jù)包正常狀態(tài)與異常狀態(tài)對(duì)比

[40] 某軟件升級(jí)過(guò)程中的抓包數(shù)據(jù)

我們?cè)?5年初的時(shí)候捕獲到了其中一類樣本的新變種，除了迷一樣的傳播方式，樣本本身還有很多非常有意思的技術(shù)細(xì)節(jié)，限于篇幅這里只能放1張內(nèi)部分享的分析截圖，雖然高清但是有碼，同樣老規(guī)矩靜靜看圖。

[41] 神秘樣本技術(shù)分析簡(jiǎn)圖

尾記

流量圈的故事還有很多，劫持與反劫持的故事在很長(zhǎng)時(shí)間內(nèi)還將繼續(xù)演繹下去。流量是很多互聯(lián)網(wǎng)企業(yè)賴以生存的基礎(chǔ)，通過(guò)優(yōu)秀的產(chǎn)品去獲得用戶和流量是唯一的正途，用戶的信任來(lái)之不易，且行且珍惜。文章到此暫告一段落，有感興趣的地方歡迎留言討論

最新評(píng)論