近日,30亿条公民信息泄露事件闹得沸沸扬扬。与此同时,360互联网安全中心也发现另一起网络劫持的案例,有网友称自己无论是用手机还是电脑上网,常常会出现一些广告或者莫名的跳转到其他的网站等网络劫持的现象,安全软件检测并未显示有任何的病毒。后来经过技术分析,导致这种现象是因为路由器的问题。
360互联网安全中心分析发现,用户使用的几款国内知名路由器存在数据包篡改劫持的问题,且劫持情况分布广泛,多个大网站均出现问题,行业类型包括电子商务网站、网址导航、搜索引擎等;还有一些网站被插入无关页面以及游戏广告,严重的话,会直接跳转到钓鱼或欺诈广告的网站中,对网络用户造成直接的经济损失。
网络攻击过程 360互联网安全中心对存在问题的其中一台路由器进行技术分析,发现路由器的固件存在网络数据包修改功能,固件中提取的劫持相关文件和请求302跳转劫持内容完全重合。相关的技术人员通过进一步分析,梳理了路由器被劫持的逻辑,如下:
而另外的路由器也存在类似问题,浏览器访问页面中被插入js代码。其劫持逻辑如下:
t.js混淆+RC4加密代码片断:并且不断更新变换加密及混淆方式以对抗分析:
t.js混淆+RC4加密代码片断
反混淆处理后代码如下图所示:JS中对phicomm.com、最后,weibo.com、.gov.cn、.qq.com、.sina.com、.163.com、.weibo.com、.cctv.com、.baidu.com等几个大站点做了白名单处理,打开这些网站不会被插入广告,这些站点以外的网站则会根据移动端和PC端插入不同的广告JS,其中移动端会有小图标广告或移动网盟的广告。
反混淆t.js内容及对应部分广告展示
Lypc.js反混淆后部分片断可看到其中插入广告的页面:
因为路由器存在网络劫持,导致接入路由器的移动端和PC访问各大服务器容易出现各种的广告,以及页面跳转现象。
解决方案:HTTPS加密协议 作为国内信息安全服务商数安时代GDCA认为此类的网络劫持并不是不可以避免,目前最常见、最有效的方法就是通过SSL证书升级到HTTPS加密协议。
HTTPS加密协议是目前最安全的网络传输协议,是在HTTP明文协议的基础上添加了SSL证书。SSL证书是遵守TLS/SSL协议,由受信任的数字证书颁发机构(CA机构),通过第三方验证服务器身份后颁发的数字证书。SSL证书具有服务器身份验证和数据传输加密功能,可防止网络传输信息被他人盗窃、篡改等网络攻击;以及能有效避免网络劫持行为;通过SSL证书可有效辨别服务器身份,识别钓鱼网站。
因此数安时代GDCA建议网络终端用户在日常访问网站时,可尝试主动切换到HTTPS加密协议访问(据Google Chrome最新统计,目前有70%以上的站点已经支持HTTPS访问),这块就可以避免通讯过程被篡改。而各大站长应向受信任的CA机构申请SSL证书,将全站升级到HTTPS,防止此类劫持、篡改问题。
文章材料参考360互联网安全中心
文章转载https://www.trustauth.cn/news/security-news/26268.html