本文讲的是“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问,近年来,国内各大网站逐渐升级为HTTPS加密连接,以防止网站内容被篡改、用户数据被监听。但是一向被认为“安全可靠”的HTTPS加密传输,其实也可以被木马轻易劫持。

日前,360安全中心发现一个专门劫持主流搜索引擎和电商网站的HTTPS“劫匪”木马活跃度剧增。此木马使用“移花接木”大法,在中招电脑上导入虚假证书,以中间人攻击的方式突破HTTPS加密连接的安全防线,从而在受害用户访问一些大型网站时篡改页面插入广告。根据360网络安全研究院对全网数据的监测分析,HTTPS“劫匪”木马每天劫持的HTTPS访问量超过200万次。

HTTPS“劫匪”木马以色情播放器作为伪装,诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时,HTTPS劫匪木马会把连向站点的链接重新定向到本地的监听端口,木马在本地架设kanleweb server进行流量劫持,然后在对应页面插入一个js恶意脚本篡改页面,这种方法能够突破国内大量知名站点的HTTPS加密连接。

以下是360安全中心对HTTPS“劫匪”木马的详细分析

木马主要通过伪装色情播放器的方式进行推广,部分用户可能会被木马诱骗关闭安全软件而中招:

图1

木马在中招电脑安装kanleweb server,kangleweb通过配置,对下列域名进行了劫持:

图2

图3

并通过导入证书的方式实现中间人攻击:

图4

导入到系统的证书签发了大量域名:

图5

以搜索引擎为例,HTTPS劫匪木马会把搜索引擎原有的广告替换为木马关联的广告联盟ID的广告:

图6

图7

插入的用于做劫持的js:

图8

在电商网站中同样会加入劫持用的js:

图9

来自360网络安全研究院的数据显示,HTTPS劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求,近期达到日均超过200万次。

图10

由于HTTPS加密连接的网站往往会涉及重要的账号和数据,用户应对此类专门打劫HTTPS的恶意推广木马提高警惕,防止造成敏感数据泄露等更严重的损失。在下载软件时如果遇到安全软件报警提示木马病毒的情况,切勿关闭安全软件冒险运行木马。

原文发布时间为:2017年8月17日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问相关推荐

  1. HTTPS劫匪木马暴力升级:破坏ARK攻击杀软

    本文讲的是HTTPS劫匪木马暴力升级:破坏ARK攻击杀软,目前,越来越多的网站开始注册证书,提供对HTTPS的支持,保护自己站点不被劫持.而作为对立面的流量劫持攻击,也开始将矛头对准HTTPS,其中最 ...

  2. 李彦宏偷换概念还是危言耸听?

    "5年后不会再有互联网公司,因为所有的公司都在用互联网!"    "将来真正的互联网公司会越来越少,估计剩下来的不到一两家,大家需要想象,能够利用网络创造什么样的商业机会 ...

  3. 看到记忆的印迹:神经科学家们如何定位、唤醒甚至偷换记忆

    来源:澎湃新闻 概要:借助新兴的脑部成像技术,神经科学家们得以"看到"与特定记忆相关的特定神经细胞,了解记忆形成和唤起的规律,并成功地重新激活记忆通路. <神探夏洛克> ...

  4. 为了更有效率地偷钱,Android root木马开始试水短信扣费诈骗

    本文讲的是 为了更有效率地偷钱,Android root木马开始试水短信扣费诈骗, 自2006年9月以来,我们就一直在监控Google Play商店有关Ztorg木马的各种新变异版本 ,到目前为止,我 ...

  5. 用history api偷换浏览器历史记录

    HTML5提供了新的history接口,例如pushstate,以及popstate.通常情况下,浏览器的历史记录能保存访问历史,但是因为有了history api,pushstate和replace ...

  6. 从一个简单的数学题来说说偷换概念引发的催眠效应

    题目一:一个学生向爸爸借了500,向妈妈借了500,买了双皮鞋用了970.还剩下30元.还爸爸10块,还妈妈10块,自己剩下10块.欠爸爸490.欠妈妈490.490+490=980再加上自己10块= ...

  7. MEM/MBA 写作-论证有效性分析(04)逻辑缺陷-偷换概念以偏概全

    1 偷换概念 1.1 逻辑缺陷-偷换概念 特征:把不同的概念当做同一概念使用.两个核心概念(相关性 不强)不一致. 分析:指出两个概念是不一致的.为什么不一致? 模板:论证中先后使用了A与B是两个核心 ...

  8. 用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS

    HTTP 协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的 HTTP 的网站是不太安全的.所以, Google 的 Chrome 浏览器 ...

  9. 联通版“小米3”被指偷换摄像头

    京华时报讯(记者李斌)刚刚迈进2014年,小米公司就接连遭遇危机.继元旦当天被曝出联通版小米 手机3偷换处理器之后,昨天又有米粉发现,"米3"联通版手机的 摄像头也被"偷 ...

最新文章

  1. 1行Python代码制作动态二维码
  2. BPM实例分享:如何设置开窗高度与宽度?
  3. sql 判断分钟是偶数数据_使用SQL交换座位(奇偶数的用法)
  4. 如何搭建一个打印荣誉证书的网站_如何搭建一个免费的作品集网站
  5. Protel中的快捷键使用(网上资源)
  6. Pull Request的正确打开方式(如何在GitHub上贡献开源项目)
  7. 辐射3计算机,辐射3与道德
  8. 快速排序多种方法代码Python
  9. 百度文库崩溃半小时:赶论文的网友也集体崩了
  10. python程序如何执行死刑_「Python基础知识」Python生成器函数
  11. Anaconda, conda, pyenv, virtualenv的区别
  12. MapReduce计算模型(二)
  13. 学习笔记(10):每一道试题都是有解题密码(2018年下半年信息系统项目管理师试题讲解)-用这种简单方法破解这么难的试题,我也是醉了(试题21-25)...
  14. 2021-07-20 诺瓦星云笔试复盘
  15. 计算机课教师评价,教师课堂评价语集锦
  16. spring boot面试问题集锦
  17. 计算机中低级语言和高级语言的区别?
  18. 认为的文字可编辑的 pdf和图片展示的 pdf 做笔记的方式
  19. 谷歌云配置FTP主动模式,使用宝塔的FTP储存空间插件实现自动备份数据
  20. 短视频直播源码 语音直播原生APP源码

热门文章

  1. mouseover与mouseenter,mouseout与mouseleave的区别
  2. 推荐两款简单好用的图片放大jquery插件
  3. CentOS 6.5 下Vim 配置图解
  4. ThreadLocal源码分析
  5. Unity 4.x游戏开发技巧集锦(内部资料)
  6. ORACLE RAC 更改instance name完整步骤
  7. Composer 篇
  8. 40.lombok在IntelliJ IDEA下的使用
  9. 36.intellij idea 如何一键清除所有断点
  10. 欧盟剑指科技巨头,意欲上调税款