互联网黑势力之-流量劫持

[7] “高清影视”木马后台服务器取证 2. 持续活跃的广告弹窗挂马 提到流量劫持，不得不说到近2年时间内保持高度活跃的广告弹窗挂马攻击案例，原本的广告流量被注入了网页木马，以广告弹窗等形式在客户端触发，这属于一种变相的流量劫持，更确切的说应该称之为“流量污染”或“流量投毒”，这里我们将其归类为本地劫持。
近期挂马利用的漏洞多为IE神洞(cve-2014-6332)和HackingTeam泄漏的多个Flash漏洞。通过网页挂马，流量劫持者将非常廉价的广告弹窗流量转化成了更高价格的安装量，常见的CPM、CPV等形式的广告流量每1000用户展示只有几元钱的成本，假设网页挂马的成功率有5%，这意味着劫持者获取到20个用户的安装量，平均每个用户静默安装5款软件，劫持者的收益保守估计有50元，那么“广告流量投毒”的利润率就近10倍。这应该就是近两年网页挂马事件频发背后的最大源动力。

[8] 网页木马经常使用的IE神洞(CVE-2014-6332)

[9] 网页木马利用IE浏览器的res协议检测国内主流安全软件
这些广告流量大多来自于软件弹窗、色情站点、垃圾站群、运营商劫持量等等，其中甚至不乏很多知名软件的广告流量，从我们的监测数据中发现包括酷狗音乐、搜狐影音、电信管家、暴风影音、百度影音、皮皮影音等多家知名软件厂商的广告流量被曾被劫持挂马。正是因为如此巨大的流量基数，所以一旦发生挂马事件，受到安全威胁的用户数量都是非常巨大的。

[10] 对利用客户端弹窗挂马的某病毒服务器取证发现的flash漏洞exp
据了解很多软件厂商对自身广告流量的管理监控都存在漏洞，有些甚至经过了多层代理分包，又缺乏统一有力的安全审核机制，导致被插入网页木马的“染毒流量”被大批推送到客户端，最终导致用户系统感染病毒。在样本溯源过程中，我们甚至在某知名音乐软件中发现一个专门用于暗刷广告流量的子模块。用户越多责任越大，且行且珍惜。

[11] 2015年某次挂马事件涉及的弹窗客户端进程列表

[12] 对2015年度最活跃的某挂马服务器的数据库取证(高峰期每小时5k+的安装量) 二、网络劫持 流量劫持的故事继续发展，当一个网络数据包成功躲开了本地主机系统上的层层围剿，离开用户主机穿行于各个路由网关节点，又开启了一段新的冒险之旅。在用户主机和远程服务器之间的道路同样是埋伏重重，数据包可能被指引向错误的终点(DNS劫持)，也可能被半路冒名顶替(302重定向)，或者直接被篡改(HTTP注入)。
1. 运营商劫持提起网络劫持，往往第一个想起的就是运营商劫持，可能每一个上网的用户或多或少都曾经遇到过，电脑系统或手机用安全软件扫描没有任何异常，但是打开正常网页总是莫名其妙弹出广告或者跳转到其他网站。对普通用户来说这样的行为可以说深恶痛绝，企业和正规网站同样也深受其害，正常业务和企业形象都会受到影响，在15年年底，腾讯、小米、微博等6家互联网公司共同发表了一篇抵制运营商流量劫持的联合声明。

在我们日常的安全运营过程中也经常接到疑似运营商劫持的用户反馈，下面讲述一个非常典型的http劫持跳转案例，用户反馈打开猎豹浏览器首页点击下载就会弹出广告页面，经过我们的检测发现用户的网络被运营商劫持，打开网页的数据包中被注入了广告劫持代码。类似的案例还有很多，除了明面上的广告弹窗，还有后台静默的流量暗刷。对于普通用户来说，可能只有运营商客服投诉或工信部投诉才能让这些劫持行为稍有收敛。 [13] 用户打开网页的数据包被注入广告代码

[14] 用户任意点击网页触发广告弹窗跳转到“6间房”推广页面 这个案例劫持代码中的域名“abc.ss229.com”归属于推广广告联盟，在安全论坛和微博已有多次用户反馈，其官网号称日均PV达到2.5亿。其实运营商劫持流量的买卖其实已是圈内半公开的秘密，结合对用户上网习惯的分析，可以实现对不同地区、不同群体用户的精准定制化广告推送，感兴趣的读者可以自行搜索相关的QQ群。

[15] 公开化的运营商劫持流量买卖 缺乏安全保护的DNS协议和明文传输的HTTP流量非常容易遭到劫持，而运营商占据网络流量的必经之路，在广告劫持技术上具有先天优势，比如常见的分光镜像技术，对于普通用户和厂商来说对抗成本相对较高，另一方面国内主流的搜索引擎、导航站点、电商网站都已经开始积极拥抱更加安全的https协议，这无疑是非常可喜的转变。