路由器劫持导致广告泛滥
电脑打开网页,经常会莫名其妙地弹出广告,跳转到其他网站。可能不是病毒在搞鬼吧!日前,360互联网安全中心跟踪发现一起路由器网络劫持案件。网民反映,他们每天上网时都莫名其妙地弹出广告或跳转到其他网站。使用安全软件没有发现病毒。经过分析发现,始作俑者居然是网友家的路由器!反馈用户均使用部分国产品牌的路由器,这些路由器存在网络劫持行为,难以被及时发现。路由器作为家庭***,理应承担保护家庭网络安全的任务,但这种恶意的网络劫持行为严重影响了用户的上网安全。
在分析用户反馈的过程中,我们发现劫持情况分布很广,各大网站都有问题,与之前常见的区域性劫持不同,并不是某些网站有问题。
排除机房问题、运营商链接问题、浏览器恶意插件、病毒木马等可能性后。,最终目的是锁定用户使用的路由器。经过我们的分析和测试,发现用户使用的几个路由器存在数据包篡改和劫持问题。劫持的目标包括电子商务网站、网址导航、搜索引擎等网站。,以赚取推广佣金;无关网页和游戏广告也会***入其他网站;甚至会直接将用户引向钓鱼或欺诈广告网站,给网民造成直接经济损失。
劫持过程分析
Maxx &路由器劫持过程分析;
首先,我们提取了用户使用的路由器的固件,并进行解包:
可以看到这个路由器系统是在OpenWrt的基础上修改的,OpenWrt是一个开源的。我们分析的两款路由器使用的固件来自深圳一家专门从事路由器固件定制的公司。根据官网显示的信息,使用类似固件的机器还有很多。
在对比分析中,我们发现路由器固件具有修改网络数据包的功能,修改的内容与我们在网络抓包中获得的劫持内容一致:
从固件和请求302中提取的劫持相关文件跳转劫持。
在原js内容末尾插入HXXP://113 . 113 . 120 . 118:2048/b . js
通过进一步分析,梳理出其劫持的逻辑:
Maxx & X路由器劫持流程
上图中,用于劫持的b.js再次指代多个js。在HXXP://cdn . cow ***lls . com/script/static/js/g . js中的一个查看最终广告页面:
被引用的广告页面和展示效果:
因为在路由器中被劫持,访问该路由器的移动终端也会受到影响:
插入广告图:
PC中的劫持效应:
解析另一个著名品牌路由器劫持过程
在另一款知名路由器中,我们也发现了类似的劫持功能:
以及固件telnet与劫持相关的部分。
Js代码***入到浏览器访问页面中
访问网站中的JS
我们对其劫持逻辑分析如下:
T.js混淆+RC4加密代码片段;并不断更新变换加密和混淆方法以对抗分析;
T.js混淆+RC4加密代码片段
反混淆后的代码如下图所示:JS白名单phicomm.com、weibo.com、gov.cn、qq.com、Sina.com、163.com、微博、cctv.com、Baidu.com等几大网站这些网站打开后不会***入广告,这些网站以外的网站会根据移动端和被列入白名单。
反混淆t.js内容和广告显示的相应部分
劫持示意图及部分劫持案例
反混淆后的Lypc.js的部分片段可以看到插入广告的页面:
游戏广告js中,鼠标移动上去即自动打开游戏广告代码在游戏js中,鼠标上移,游戏广告代码自动打开。
最后会自动弹出全屏页游广告。
在正常访问网站的右下角插入广告图形。
对于此类网络劫持,360互联网安全中心提醒:
普通网民尽量选择更有保障正规厂商品牌路由器,并且保持路由器固件更新。日常上网也可以尝试主动切换到https访问(目前主流站点多已经支持https的访问),避免通讯过程被篡改。各大站长可以通过全站升级到HTTPS,防止此类劫持、篡改问题。目前360浏览器已经对此类插入广告JS进行全面拦截,使用360浏览器可有效过滤掉插入的各类广告。
本文来自北蕭投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/569266.html
微信扫一扫 
