为什么浏览器老被劫持为**导航?“流量劫持”为何物

问题：

为什么点击淘宝却跳转到**返利？

为什么浏览器首页总是被劫持为**导航？

“流量劫持”到底是什么？它与我们的日常生活有何关系？

本篇文章我们将一一解答大家的疑问，和大家聊聊流量劫持的故事。

1.本地劫持

在鼠标点击的那一刻，流量就在路由的引导下流经用户系统中的层层节点，奔向远程服务器。 这段旅程中的肉搏战往往是最激烈的。 劫机者经常伏击流量可能经过的所有节点。 流量劫持的手段也层出不穷，从首页配置篡改、主机劫持、进程挂钩、启动劫持、LSP注入等。 、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等不断更新。 也许流量劫持的故事从你打开电脑的那一刻起就开始了。

1 道貌岸然的流氓软件

“网址导航”堪称国内互联网最独特的风景。 从hao123开始发扬光大，各大导航站开始成为最重要的互联网流量入口，并伴随着围绕导航首页链接的小尾巴（促销ID）。 惊心动魄的攻防狙击战展开。 一方面，国内安全软件对传统IE浏览器主页的保护越来越严格。 另一方面，用户体验更好的第三方浏览器开始占据主流地位。 国内流氓木马也开始“另辟蹊径”获取导航量。

下面提到的案例是我们捕获的一批导航首页劫持样本。 历史活跃期可以追溯到2014年，主要通过多类流氓软件捆绑传播。 其劫持功能模块是通过网络更新获得的。 经过多层解密内存后再动态加载。

主页劫持插件模块通过修改浏览器配置文件实现主页篡改，覆盖Chrome、火狐、Safari、傲游、QQ、360、搜狗等20余种国内外主流浏览器。 实现这些功能显然需要逆向分析这些浏览器的配置文件格式和加密算法。 在样本分析过程中，我们甚至发现他们利用了一个漏洞来绕过其中两个浏览器的主页保护功能。 流氓作者很“取心”，可惜做法不对。

[1]某软件下拉加载主页劫持插件

上图是我们在其中一款软件中捕获到的主页劫持模块文件和更新数据包。 也许你对数据包中的域名不是很熟悉，但是说到“Sonic Start”这款软件，相信安全圈很多人都会明白，当时各大安全论坛的工具包基本上用它来管理配置。 伴随着很多像本文作者一样的三流黑客的学习和成长，所以我在分析这个样本的过程中还是有很多感触的。 当然，这些木马劫持行为可能与原作者没有太大关系。 听说这个软件停止更新几年后就卖给了上海一家科技公司。 其许多软件产品已被发现被流氓劫持。 有兴趣的读者可以自行百度搜索，这里不再赘述。

就像之前的案例一样，一些老式的软件已经开始慢慢变质，离用户越来越远； 另一方面，随着近年来国内安全环境的变化，以前流行的盗号、下载器、远程控制等传统木马已经逐渐没落，另外大量伪装成正规软件的流氓也开始出现。出现。 他们的运作方式有以下特点：

1、冒充普通软件，但实际功能简单粗暴，有的甚至是空壳软件。 常用的是某某日历、天气预报、彩播、输入法等各种伪装形式，试图披着这些正常功能的外衣，逃避安全软件。 达到拦截常驻用户系统的目的。

2、其背后的行为与木马病毒相同。 其目的是获取推广流量，如主页锁定、网页劫持、广告弹窗、刷流量、静默安装等。而且，流氓软件很大一部分的恶意模块和配置都是通过云端控制的。 ，可以按时间段、区域、场景触发。

[2] 某流氓软件云控后台

3、变种速度比较快，可以反复杀掉。 被安全软件拦截清理后，会迅速更改数字签名，甚至更改软件外壳并打包卷土重来。 这些数字签名注册的企业信息很多都是流氓​​软件作者从其他渠道专门获取的。

[3] 某流氓软件一个月内多次更改数字签名证书路由器ip 流量统计 软件，以逃避安全软件检测。

下面您可以通过几个典型案例了解这些流氓软件劫持流量的技术手段：

1）通过浏览器插件劫持流量的QTV系列变种。 该示例通过IE浏览器的BHO插件将JS脚本注入到用户网页中。 该浏览器利用chrome内核中的漏洞绕过某些浏览器插件的正常安装步骤。 ，通过篡改配置文件、添加浏览器插件等方式实现动态劫持。

[4] 静默安装到浏览器中并通过JS注入劫持网页的插件模块

注入JS脚本劫持用户网页浏览的技术优势也很明显。 一方面，注入的云端JS脚本更加灵活，可以随时在云端进行控制和修改。 另一方面，它们非常隐蔽，普通用户很难察觉。 注入用户网页的JS脚本劫持了大部分网页浏览的推广流量，如下图：

[5] 网页注入JS劫持推广流量

2）以下“高清影视流氓病毒”案件是去年密切跟踪的一个流氓病毒传播群体。 此类样本主要通过伪装成玩家型流氓软件进行传播。 其技术特点如下图所示。 大多数劫持模块都是通过动态内存加载到系统内核中的驱动文件，实现浏览器劫持、静默推广等病毒行为。

[6]“高清电影”木马劫持流程简单图解

从木马后端服务器采集到的文件来看，该样本短时间内传播量非常大，单日峰值达到20万+，一周累计感染用户数超过100万，安装统计数据库日备份文件超过1G。

[7]“高清电影”木马后台服务器取证

2.持续活跃的广告弹窗。

说到流量劫持，就不得不提到这两年非常活跃的广告弹窗案例。 原始广告流量被注入网页木马，以广告弹窗的形式在客户端触发。 这种变相的流量劫持应该更准确地称为“流量污染”或“流量中毒”。 这里我们将其归类为本地劫持。

最近恶意软件利用的漏洞主要是IE Shen Cave（cve-2014-6332）和HackingTeam泄露的多个Flash漏洞。 通过网页挂载，流量劫持者将非常廉价的广告弹窗流量转化为价格较高的安装。 常见的CPM、CPV等形式的广告流量每千次用户展示仅需几元钱。 假设网页挂马的成功率为5%，这意味着劫持者获得了20个用户的安装量，平均每个用户默默安装了5个软件。 劫持者的收入保守估计为50元，因此“广告流量中毒”的利润率接近10倍。 这应该是近两年网页黑客事件频发的最大推手。

[8] 网页木马常用的IE Cave (CVE-2014-6332)

[9]网页木马利用IE浏览器的res协议检测国内主流安全软件

这些广告流量大部分来自于软件弹窗、色情网站、垃圾邮件群、运营商劫持量等，甚至还有很多知名软件的广告流量。 从我们的监测数据来看，我们发现，包括酷狗音乐、搜狐视频、电信管家、暴风影音、百度影音、皮皮影音等多家知名软件厂商的广告流量都被劫持安装。 正是因为如此庞大的流量基础，一旦发生黑客事件，受到安全威胁的用户数量就非常大。

[10] 通过对病毒服务器取证分析发现的 Flash 漏洞exp，利用客户端弹出窗口引发恶意软件

据了解，不少软件厂商对自家广告流量的管理和监控存在漏洞。 有的甚至经历了多层代理分包，缺乏统一、强大的安全审计机制。 从而将大量插入网页木马的“病毒流量”推送至客户端，最终导致用户系统感染病毒。 在样本溯源过程中，我们甚至发现某知名音乐软件中有一个专门用于暗中抹黑广告流量的子模块。 用户越多，责任越大，做到并珍惜。

[11]2015年黑客事件涉及的弹窗客户端进程列表

[12] 2015年最活跃木马服务器数据库取证（高峰期每小时安装量超过5k）

2、网络劫持

流量劫持的故事还在继续发展。 当网络数据包成功躲过本地主机系统的层层围攻路由器ip 流量统计 软件，离开用户主机，经过各个路由网关节点时，就开始了新的冒险。 用户主机和远程服务器之间的道路上也布满了埋伏。 数据包可能被定向到错误的端点（DNS 劫持），可能被中途冒充（302 重定向），或直接被篡改（http 注入）。

1 运营商劫持

说到网络劫持，首先想到的是运营商劫持。 可能每个上网的用户都曾经遇到过这种情况。 用安全软件扫描电脑系统或手机没有任何异常，但打开正常网页时，总是莫名其妙地弹出。 广告或重定向到其他网站。 对于普通用户来说，这样的行为可以说是令人深感厌恶。 企业和正规网站也深受其影响。 正常经营和企业形象都会受到影响。 2015年底，腾讯、小米、微博等六家互联网公司联合发表联合声明，抵制运营商流量劫持。

在我们日常的安全运营中，经常会收到疑似被运营商劫持的用户反馈。 下面是一个非常典型的http劫持和重定向的案例。 用户反映，打开猎豹浏览器首页并点击下载时，会弹出广告页面。 经过我们的检测发现，用户的网络被运营商劫持，在打开网页的数据包中注入了广告劫持代码。 类似的案例还有很多。 除了表面的广告弹窗，后台还有无声的​​流量冲刷。 对于普通用户来说，只有向运营商客服投诉或者向工信部投诉才能对这些劫持行为带来一定的约束。

[13]用户打开网页时的数据包中注入广告代码

[14]用户点击任意网页触发广告弹窗并跳转至“6房”推广页面

本案劫持代码中的域名“abc.ss229.com”属于促销广告联盟。 在安全论坛和微博上已经有很多用户反馈。 其官网声称日均PV达到2.5亿。 事实上，运营商劫持流量的买卖实际上是行业内半公开的秘密。 结合用户上网习惯分析，可以针对不同地区、不同人群的用户实现精准定制广告推送。 有兴趣的读者可以自行搜索相关资料。 QQ群。

[15]运营商公开流量劫持和买卖

缺乏安全防护的DNS协议以及明文传输的http流量非常容易被劫持。 运营商占据网络流量的必经之路，在广告劫持技术上具有先天优势，比如常见的分光镜像技术。 对于普通用户和厂商来说，对抗的成本都比较高。 另一方面，国内主流搜索引擎、导航网站、电商网站也开始积极拥抱更加安全的https协议。 这无疑是一个非常可喜的变化。

[16]运营商流量劫持常用的频谱镜像技术

乌云平台曾多次曝光运营商流量劫持的案例，比如用户举报的“下载小米商城被劫持到UC浏览器APP”的案例。 感谢万能的白帽子深入某运营商的劫持平台系统，为我们揭开了秘密。 内幕人士。

[17]某运营商apk下载、分发、劫持管理后台被曝光

以上种种，不禁让人想起“抢劫圈”中最著名的一句话，“这座山是我开的，这棵树是我种的，你想过这条路，就留下买路的钱” ”、“网购送免费广告”已成为网络运营商的标配套餐。 这些劫持流量的交易显然不仅仅是所谓的“个别内部员工的非法操作”。 俗话说，用户越多，责任就越大，所以做到并珍惜。

2CDN缓存污染

CDN加速技术本质上是一种良性的DNS劫持。 它利用DNS引导，将用户对服务器上js、图片等不经常变化的静态资源的请求引导到最近的服务器，从而加速网络访问。 加速访问良好的用户体验使得CDN加速被各大网站广泛采用，其中蕴藏的惊人流量自然成为了流量劫持者的目标。

[18]用户打开正常网页后，跳转到“性广播”诱导页面。

去年，我们多次收到用户反馈，使用手机浏览器打开网页时，经常被重定向到色情宣传页面。 经过抓包分析，我们发现百度网络联盟CDN缓存服务器中的关键JS文件被污染，并被注入广告代码。 劫持代码根据user-agent头判断流量来源，然后针对PC、Android、ISO等平台制作导流弹窗，诱导用户安装“伪彩播”病毒APP。

[19]抓包分析显示百度网络联盟公开JS文件注入广告代码

[20] 劫持代码根据不同访问源平台进行分流，推广“伪色情”病毒App

作为国内最大的广告联盟之一，百度网络联盟日广告流量PV数以亿计。 其CDN缓存被劫持的影响将非常广泛。 通过分析，我们确认只有该国的部分地区会出现此类网络劫持的情况。 我们也第一时间向合作伙伴汇报了这一情况。 不过，我们并未收到有关缓存劫持原因的最终反馈。 是被运营商劫持还是被运营商劫持？ 个别缓存服务器被入侵的原因尚不清楚，但这起案件再次提醒我们CDN服务的安全防护。

[21]通过流量劫持推广的“伪色情”病毒APP简化行为流程图

从这个案例中我们也可以看出，移动端“劫持流量”的一个非常重要的出路就是“伪色情”诱导。 这些病毒App基本都是采用短信密扣、诱导付费、广告弹窗、流量分泌等方式。 以及以推销安装等手段实现非法盈利。 移动端这条灰色产业链近两年已经成熟，“色情广播”样本已成为移动端感染数量最多的恶意App家族类别之一。

[22]“伪彩播”病毒APP进行诱导推广

这些“伪彩播”病毒APP安装后，除了各种广告促销活动外，还会在后台偷偷发送短信，定制各种运营商付费服务，并自动回复和屏蔽业务确认短信，以防止用户从注意到； 有的还集成了第三方支付SDK，通过VIP充值等方式诱导用户支付。 最终，用户并没有看到自己想要的“好处”，吃完黄连只能苦不堪言。

[23]“伪彩播”病毒APP短信定制服务扣费接口数据包

[24]病毒应用自动回复并屏蔽商务短信，防止用户察觉

以其中一家专门从事“性广播诱导”业务的广告联盟为例。 其背后有上百个推广渠道，每年用于推广结算的资金周转额超过5000元。 从其一款色情病毒APP的管理背景来看，短短半年时间就有超过100万条扣单数据，每用户平均扣费金额在6元至20元不等，抛开其他流氓推广收入不说。 仅扣费一项，半年总收入就超过百万，而这只是海量“伪彩播”病毒样本之一。 整个产业链的巨大利润可想而知。

[25]某“伪色情广播”病毒App的推演统计背景

[26]“伪色情”病毒应用推演通道的数据存储服务器

3DNS劫持

作为亿万用户网络接入的基础设备，路由器安全的重要性不言而喻。 近两年曝光的路由器漏洞、后门案例多起，主流路由器品牌基本没有一个漏过漏洞。 虽然部分厂商发布了补丁固件，但普通用户很少主动更新升级路由器系统。 因此，路由器漏洞的持续性远高于普通PC平台。 另一方面，路由器的安全保护一直是传统的。 一旦路由器受到威胁，用户通常无法检测到安全软件中存在的空白点。

这两年国内外针对路由器的攻击也非常频繁。 目前我们发现的攻击方式主要分为两类。 一是利用漏洞或后门获取路由器系统的访问权限，然后植入僵尸木马，通常是DDoS木马。 兼容路由器常见的arm、mips等嵌入式平台； 另一种是获得路由器管理权限后篡改默认DNS服务器设置，通过DNS劫持用户流量。 一般用于广告、网络钓鱼攻击等。

[27]兼容多平台的路由器DDOS木马样本

下面这个案例是我们最近发现的一个非常典型的DNS劫持案例。 劫持者通过路由器漏洞劫持用户DNS，向用户网页注入JS劫持代码，实现导航劫持、电商广告劫持、流量刷卡等。攻击代码针对d-link、tp-link、中兴通讯等还从劫持代码中发现了一些品牌的路由器，利用CSRF漏洞篡改路由器DNS设置。

[28]路由器DNS流量劫持案例简单图解

[29] d-link、tp-link、zte等品牌路由器的攻击代码

被篡改的恶意DNS会劫持常见导航网站的静态资源域名，如s0.hao123img.com、s0.qhimg.com等，劫持者会将JS代码注入到网页引用的jquery库中，以实现后续的功能。劫持行为。 由于页面缓存，还可以通过JS缓存中毒来实现长期隐蔽劫持。

[30]常见导航网站域名被劫持

[31]网站引用的jquery库中注入恶意代码

注入页面的劫持代码多用于广告、电商流量劫持。 从发现的数十个被劫持的JS文件代码的历史变化可以看出，作者一直在不断尝试测试和改进不同的劫持方法。

[32]劫持代码暗中抹黑各大电商广告

[33]在网页中注入CPS广告，跳转到自己的电商导流平台

我们简单追踪了劫持者的流量统计背景。 从51la的统计来看，被劫持的流量还是非常惊人的。 日均PV在200万左右，2015年底高峰期甚至达到800万左右，劫持者的暴利之大不难想象。

[34] DNS流量劫持者使用的51La统计后端

近两年DNS劫持活动非常频繁，恶意DNS数量增长非常迅速。 我们每年都会监控数百个新的恶意 DNS 服务器。 路由器劫持攻击的案例不仅仅发生在中国。 从蜜罐系统和小规模漏洞检测结果来看，我们也捕获到了全球多起路由器DNS攻击案例。

[35] DNS流量劫持者使用的51La统计后端

[36]国外发现的路由器CSRF漏洞“全家桶”案例，被利用攻击载荷超过20个

下面的案例是我们的蜜罐系统在2016年初捕获到了一类针对路由器漏洞的扫描攻击，然后我们尝试进行溯源和影响评估。 在对邻国的一些活跃IP段进行小规模扫描和检测后，我们发现大量路由器暴露在互联网上，并且大约30%的易受攻击路由器的DNS设置被篡改。

抛开劫持广告流量牟利不谈，如果想要大量渗透或破坏一个国家或地区的网络，目前路由器的安全状况千疮百孔，无疑可以是一个非常合适的突破点。 这并非危言耸听。 。

如下图所示，漏洞路由器的首选DNS设置为劫持服务器IP，备用DNS服务器设置为Google公共DNS（8.8.8.8）。

[37]邻国某网段大量易受攻击的路由器DNS设置被劫持

[38] 各种易受攻击的路由器的 DNS 设置被劫持

4 神秘劫持

故事以一桩神秘的劫机案结束。 我在工作中遇到过很多神秘的样本。 就好像一个隐藏在层层网络中的黑暗幽灵。 我不知道它从哪里来，也不知道它截获的信息。 无论它最终去向何方，留给我们的只有那神秘的背影。

这批神秘样本已经默默生存了很长一段时间，我们捕获的早期变种可以追溯到12年前左右。 我们先来补充一下这个谜团的开头。 这些样本大部分来自可能被劫持的某些网络节点。 请静静地看图。

[39]某软件升级数据包正常与异常状态对比

[40] 软件升级过程中的抓包数据

我们在2015年初捕获了其中一个样本的新变种。除了神秘的传输方式之外，样本本身还有很多非常有趣的技术细节。 由于篇幅限制，这里只能放一张内部共享的分析截图。 虽然是高清但有代码，还是用老规矩静静看图。

广电宽带，流畅快捷

全家人用后都说好！

让您畅游网络世界！

让您享受空闲时间、告别等。

多种组合，方便您选择

广电宽带

广播电视宽带+高清节目