近年来,国内各大网站逐渐升级为HTTPS加密连接、甚至是全站HTTPS,以防止网站被篡改、劫持或是用户数据被监听等事件的发生,在很大程度上提升了网站的安全性。但即便如此,一向被认为“安全可靠”的HTTPS安全传输协议也无法保证万无一失——如果是在存在有木马的计算机中,HTTPS也可能被轻易劫持!
近期360互联网安全中心监测到一款专门劫持HTTPS的木马再次开始活跃。在2017年,我们就曾曝光过该病毒团伙,在那之后该团伙确实有所收敛,谁知最近他们重出江湖,又开始大肆传播——来自360网络安全研究院的数据显示:HTTPS劫匪木马的主控域名之一erhaojie[.]com,在近期的域名请求次数单日峰值已超过190万次。
图1 木马主控域名请求次数波动
过程分析
劫持木马安装过程和之前版本没有太大区别,依旧主要是以伪装成色情播放器的方式进行推广,部分用户可能会被木马诱骗,关闭安全软件进而中招:
图2 木马通过伪装成色情播放器进行传播
木马在中招电脑中运行后会进行如下操作:
1.安装kangle web server服务,而该服务则通过请求控制配置和回应控制配置的方式,对主流网站的静态资源域名进行了配置;
2.通过导入证书的方式实现中间人攻击;
3.导入到本地信任的伪造证书签发了大量域名,同时修改电脑上的hosts文件,将这些域名解析到kangle web自身地址上来。
图3 木马配置的控制规则和被修改的hosts文件
这次HTTPS劫匪木马与之前不同之处在于更新了其导入的证书,新增了15个域名,签发域名达到48个。
图4 导入证书及证书信息
木马会通过泛域名(wide_host)匹配规则对系统发起的每条网络访问进行匹配,一旦发现上述域名下的js类型文件,就会在原js文件的尾部插入一条用于劫持的js链接:hxxps://ssl.erhaojie.com/ssl/ba.js
图4 在Kangle Web后台捕获到的劫持信息
劫持客户端新闻弹窗
由于近年来各路软件弹出mini新闻窗的套路风靡,木马作者也是新增了对mini窗页面的劫持。多款软件的mini窗均被劫持到带其推广ID的东方头条mini页面:hxxp://hot.eastday.com/mini0**
图5 劫持mini窗部分代码片断
微博账号刷粉
此次木马还增加了微博账号自动加粉的功能。如果木马检测到用户电脑登录了微博,则会自动关注木马内置的两个微博账号。这两个微博的粉丝均已超过7000个(其中一个账号仅发了4条微博),对比发现两个微博的粉丝相近,关注方式也基本一致——也能从侧面印证这两个微博账号很大可能都是通过这种方式添加的粉丝。
一分钟看点:hxxps://weibo.com/p/1005056585391017
看点新闻图:hxxps://weibo.com/p/1005051729979622
图6 通过模拟点击方式关注微博
劫持京东网页二维码
此外,木马还会将京东网页中原本用于扫描安装京东客户端的二维码篡改为安装其推广软件的二维码!
图7 替换京东APP二维码相关代码片断及替换效果
其他行为
除上面介绍的两个恶意功能外,木马还能够:
1.在用户访问购物、导航、搜索等网站时,自动添加木马作者的推广ID;
2.在用户访问的网站中插入浮窗广告;
3.替换掉原来网页中的广告内容;
4.在搜索引擎的结果中插入广告。
另外,由于这款木马本身劫持功能做的不够精细,还会造成用户在访问网络时出现各种故障。如腾讯游戏的相关网站被劫持后,验证码输入窗口被跳转到东方头条网站,导致用户无法正常登录WeGame。如下图:
图8 验证码窗口被劫持导致用户无法登陆WeGame
幕后作者
分析过程中,我们发现这又是一起公司形式制作恶意软件的案例。通过该劫持木马所用到的两个主要云控域名的Whois信息,我们查出:
n 注册者姓名:li**qun
n 注册邮箱:30****28@qq.com
n 所属公司:深圳市**信息科技有限公司
图9 控制域名Whois相关信息
而根据其ICP备案信息也显示域名属于深圳某公司:
图10 网站ICP备案信息以及公司股权控制图
通过支付宝姓名验证也确认该邮箱对应的真实姓名为李*群:
图11 支付宝信息
从搜索引擎搜索该QQ,能看一些早年作者曾经发过网站备案相关的帖子以及制作过小电影网站的一些信息:
图12 通过搜索找到的一些QQ相关信息
以上所有相关信息都指向同一主体:
n 姓名:李*群
n 公司1:深圳市**信息科技有限公司
n 公司2:深圳****国际文化传播有限公司
n 手机1:158******69
n 手机2:186******47
n QQ:30****28
n 邮箱1:30****28#qq.com
n 邮箱2:41*****84#qq.com
360互联网安全中心已将相关信息提交主管部门。
结语
HTTPS的普及,很大程度上提升了网站的安全性。但HTTPS并不是万能的,也存在多种劫持和攻击的手段。近期更是有多款木马开始讲攻击目标锁定在HTTPS的站点上。现在绝大部分登录认证、支付过程等涉及用户敏感信息的操作均已使用HTTPS进行通讯,也正因如此,针对HTTPS的劫持攻击对用户的威胁往往更大,用户和厂商也应格外注意此类型攻击。
对于此类木马,360安全专家提醒:正常开启360安全卫士,遇到安全软件报警提示木马病毒的情况,不要冒险添加信任运行,就可以拦截此类木马攻击。
图13 360安全卫士拦截提示窗口
*本文作者:360安全卫士,转载请注明来自FreeBuf.COM