ie核心动态库被劫持(ie核心动态库被劫持)

0x00本地劫持

鼠标点击的一瞬间，流量流经用户系统中的层层节点，在路由的指引下奔向远程服务器。在这段旅程中，肉搏战往往最为激烈，劫持者往往埋伏在流量可能经过的所有节点，流量劫持的手段层出不穷，从主页配置篡改、主机劫持、进程钩子劫持、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核包劫持、bootkit等等。也许流量劫持的故事，从启动的那一刻就已经开始了。

1.虚伪的流氓软件

“网址导航”堪称国内互联网最独特的景观。从hao123开始发扬光大，各大导航站成为互联网流量最重要的入口，伴随着导航首页小尾巴(推广ID)周围惊心动魄的攻防狙击。一方面，国产安全软件对传统IE浏览器首页的保护越来越严格；另一方面，用户体验更好的第三方浏览器开始占据主流地位，国内流氓木马为了寻求导航开始“另辟蹊径”。

以下案例是我们所捕捉到的一批导航首页劫持样本。历史活跃期最早可以追溯到2014年，主要通过各类流氓软件捆绑传播。其劫持功能模块通过联网更新，多层内存解密后动态加载。其中，主页劫持插件模块可以通过修改浏览器配置文件对主页进行篡改，覆盖chrome、Firefox、safari、傲游、qq、360、搜狗等国内外20多款主流浏览器。要实现这些功能，显然需要逆向分析这些浏览器的配置文件格式和加密算法。在样本分析的过程中，我们甚至发现他们利用了一个漏洞，绕过了两个浏览器的首页保护功能。流氓作者可以说是很“走神”，可惜剑走偏锋。

[1]某软件下拉加载主页劫持插件。

上图是其中一款软件抓取的主页劫持模块文件和更新数据包。也许你对数据包里的这个域名并不熟悉，但说到“声波启动”，相信很多安全圈的人都会知道。各大安全论坛的工具包都用它来管理配置，而且伴随着很多像本文作者这样的三流黑客的学习和成长，因此，在分析这个样本的过程中还是有很多感触的。当然，这些木马劫持可能和原作者没有太大关系。听说这个软件在停止更新几年后卖给了上海的一家科技公司，其软件产品已经有很多被发现是流氓劫持者。有兴趣的读者可以自行百度，这里不再多做披露。

和前面的案例一样，一些老牌软件开始慢慢变质，和用户渐行渐远；另一方面，随着近年来国内安全环境的变化，之前流行的盗号、下载、远程控制等传统木马逐渐式微，大量披着正规软件外衣的流氓也开始崛起。它们的运行模式有以下特点:

1.伪装成正规软件，但实际功能简单明了。有的甚至是空壳软件，常见的还有某某日历、天气预报、彩色广播、输入法等各种伪装形式。，企图借助这些正常的功能外衣逃避安全软件的拦截，达到常驻用户系统的目的。

2.背后的行为和木马病毒一样，目的是获取推广流量，比如首页锁定、网页劫持、广告弹窗、流量暗刷、静默安装等等。而且流氓软件的恶意模块和配置很大一部分是通过云端拉下来的，可以通过时间、地域、场景触发。

[2]某流氓软件的云控制背景

变种速度比较快，屡杀不止，被安全软件拦截清理后很快就会更换数字签名，甚至换个软件外壳包装后卷土重来。这些数字签名注册的企业信息很多都是流氓软件作者从其他渠道专门收购的。

[3]某流氓软件在一个月内多次更换数字签名证书，以避免被安全软件查杀。

下面举几个典型案例来了解这些流氓软件劫持流量的技术手段:

1)通过浏览器插件进行流量劫持的QTV系列变种。该示例通过IE浏览器的BHO插件将JS脚本注入到用户的网页中。chrome内核的浏览器利用漏洞绕过部分浏览器插件的正常安装步骤，通过篡改配置文件添加浏览器插件，实现动态劫持。

[4]静默安装在浏览器中的插件模块，通过JS注入劫持网页。

注入JS脚本劫持用户网页浏览的技术优势也很明显。一方面，云端注入的JS脚本灵活，劫持行为可以在云端随时控制和修改。另一方面，它非常隐蔽，普通用户很难察觉。注入用户网页的JS脚本劫持了网页浏览的大部分推广流量，如下图所示:

【5】在网页中注入JS劫持和推广流量。

2)以下“高清影视流氓病毒”案例，是去年深度追踪的流氓病毒传播团伙。这类样本主要伪装成播放器流氓软件进行传播，其技术特征如下图所示。劫持模块多为驱动文件，通过动态内存加载到系统内核，实现浏览器劫持、静默推广等病毒行为。

[6]“高清电影”木马劫持流程示意图

从木马后台服务器获取的文档来看，样本短时间内传播，单日峰值20w+，一周累计感染用户超过100万。安装的统计数据库的备份文件每天都在1G以上。

[7]“高清电影”木马后台服务器取证

2.不断活跃的广告弹窗挂马

说到流量劫持，就不得不说说近2年来高度活跃的广告弹窗攻击案例。原来的广告流量被注入网页木马，以广告弹窗的形式在客户端触发，属于一种变相的流量劫持。更确切地说，应该叫“交通污染”或者“交通中毒”。在这里，我们将其归类为本地劫持。

最近马航利用的漏洞大多是IE神东(cve-2014-6332)和HackingTeam泄露的几个Flash漏洞。流量劫持者通过网页挂马，把非常便宜的广告弹窗流量变成更高价的安装。普通形式的广告流量，如CPM和CPV，每1000名用户只需几美元。假设网页挂马成功率为5%，这意味着劫持者获得20个用户的安装，每个用户平均静默安装5个软件。劫持者收入保守估计50元，那么“广告流量中毒”的利润率将近10%。这应该是近两年网页挂马事件频发的最大推动力。

[8]网页木马常用的IE神洞(CVE-2014-6332)

【9】网页木马利用IE浏览器的res协议检测国内主流安全软件。

这些广告流量大多来自软件弹窗、色情网站、垃圾站、运营商劫持等。，其中甚至不乏知名软件的广告流量。从我们的监测数据中发现，很多知名软件厂商的广告流量，包括酷狗音乐、搜狐视频、电信管家、暴风影音、百度视频、皮皮视频等。，被劫持了。因为如此庞大的流量基数，一旦挂马事件发生，受到安全威胁的用户数量非常巨大。

[10]获得病毒服务器利用客户端弹窗挂马发现的flash漏洞exp。

据了解，许多软件供应商在管理和监控自己的广告流量方面存在漏洞。有的甚至经过多层代理分包，缺乏统一强大的安全审核机制，导致大量插入网页的木马“感染流量”被推送给客户端，最终导致用户系统感染病毒。在样本追踪的过程中，我们甚至在某知名音乐软件中发现了一个专门偷偷刷广告流量的子模块。用户越多，责任越大，去做，去珍惜。

[11]2015年挂马事件涉及的弹窗客户端流程列表

[12]从2015年最活跃的木马服务器(高峰期每小时5k+安装)数据库取证

0x01网络劫持

流量劫持的故事还在继续发展。当一个网络数据包成功躲过本地主机系统上的层层围剿，离开用户主机，穿越各个路由网关节点，开始新的冒险。用户主机与远程服务器之间的道路也充满了埋伏，数据包可能被定向到错误的目的地(DNS劫持)，中途被冒充(302重定向)，或者直接被篡改(http注入)。

1.航母劫持

说到网络劫持，首先想到的就是运营商劫持。可能每个在线用户都曾经遇到过。用安全软件扫描电脑系统或者手机都没有什么异常，但是打开正常的网页，却莫名其妙的弹出广告或者跳转到其他网站。这种行为对于普通用户来说可以说是深恶痛绝。企业和正规网站也深受其害，其正常业务和企业形象都会受到影响。15年底，腾讯、小米、微博等六家互联网公司联合发布联合声明，抵制运营商流量劫持。

在我们日常的安全运营中，经常会收到疑似被运营商劫持的用户反馈。下面是一个非常典型的http劫持跳转案例。用户反馈打开猎豹浏览器首页，点击下载，弹出广告页面。经过我们的检测，发现用户的网络被运营商劫持，打开网页的数据包被注入了广告劫持代码。类似的情况还有很多，除了明面的广告弹窗，后台无声的流量刷。对于普通用户来说，只有运营商的客服投诉或者工信部的投诉，才能让这些劫持稍微收敛一些。

[13]用户打开网页的数据包中被注入了广告代码。

[14]用户点击网页触发广告弹窗跳转到“6个房间”推广页面。

本次劫持代码中的域名“abc.ss229.com”属于推广广告联盟，在安全论坛和微博中收到了不少用户反馈，其官网宣称日均PV达到2.5亿。其实运营商劫持流量是圈内半公开的秘密。结合对用户上网习惯的分析，可以实现针对不同地区、不同群体用户的精准定制广告推送。有兴趣的读者可以自行搜索相关QQ群。

[15]开放运营商劫持流量交易。

缺乏安全保护的Dns协议和明文传输的http流量非常容易被劫持，而运营商占据了网络流量的必经之路，在广告劫持技术上具有先天优势。比如常见的光谱反射镜技术，对于普通用户和厂商来说都是比较贵的。另一方面，国内主流搜索引擎、导航网站、电商网站都开始拥抱更安全的https协议，这无疑是一个非常可喜的变化。

[16]频谱镜像技术通常用于运营商的流量劫持

Wooyun平台也曝光过不少运营商流量劫持的案例，比如用户举报的“下载小米商城被劫持到UC浏览器APP”的案例。感谢万能的白帽深入某运营商劫持平台系统为我们揭秘内幕。

[17]被曝光运营商apk下载、分发、劫持的管理背景

以上都不得不让人想起“劫圈”最著名的一句黑话，“这山是我的，这树是我种的，所以我要想好这条路，留下来买钱”，“网购送广告”成了网商的标配套餐。出售这些被劫持的流量，显然不只是所谓的“个别内部员工违规操作”，还是那句话，用户越多，责任越大，要珍惜。

2.CDN缓存污染

本质上，CDN加速技术是一种良性的DNS劫持。通过DNS引导，将用户对js、图片等不经常变化的静态资源的请求定向到最近的服务器，从而加速网络访问。加速接入良好的用户体验使得CDN加速被各大网站广泛使用，其中蕴含的惊人流量自然成为流量劫持者的目标。

[18]用户打开正常网页后，跳转到“彩播”诱导页面。

去年，我们多次收到用户的反馈。当使用手机浏览器打开网页时，我们经常被跳转到色情推广页面。经过抓包分析，发现百度网盟CDN缓存服务器中的关键JS文件受到污染，被注入广告代码。劫持代码根据user-agent头判断流量来源后，为PC、android、iso等平台分流弹窗，诱导用户安装“伪彩色广播”病毒APP。

[19]对抓包的分析显示，百度网盟的公共JS文件被注入了广告代码。

【20】根据不同访问源平台分流劫持代码，推广“伪彩色广播”病毒app。

百度网盟作为国内最大的广告联盟之一，日广告流量PV上亿，劫持其CDN缓存的影响会非常广泛。通过分析，我们确认只有该国部分地区的网络会遇到这种劫持，我们也在第一时间向朋友们报告了这一情况。然而，没有收到关于缓存劫持原因的最终反馈。究竟是运营商之间的劫持，还是个别缓存服务器的入侵，目前还不得而知。然而，这个案件给CDN服务的安全保护再次给我们敲响了警钟。

[21]流量劫持推动的“伪彩色广播”病毒APP行为流程图

从这个案例也可以看出，移动端“劫持流量”的一个重要出口就是“伪色情”诱导。这些病毒app基本都是通过短信秘密扣费、诱导付费、广告弹窗、秘密刷流量和推广安装等方式非法获利。移动端的这条灰色产业链在近两年已经趋于成熟，“偏色”样本也成为移动端感染最多的恶意app家族分类之一。

[22]“伪彩色广播”病毒APP用于诱导推广。

这些“伪彩色广播”病毒app安装后，除了各种广告推广行为外，还会在后台偷偷发送短信定制各种运营商的支付业务，并自动回复和屏蔽服务确认短信，防止用户察觉；有的还集成了第三方付费的SDK，以VIP充值的方式诱导用户付费。最终用户看不到自己想要的“福利”，吃黄连只能痛苦。

[23]某通过短信定制服务扣费的“伪彩色广播”病毒app的接口数据包。

【24】病毒app自动回复并屏蔽业务消息，防止用户察觉。

以其中一家专门做“彩种诱导”业务的广告联盟为例。背后有上百个推广渠道，每年用于推广结算的资金流量超过5,000 W元。从其控制的某彩播病毒app的管理后台来看，短短半年时间，就有100w多张扣费单，每个用户平均扣费金额从6到20元不等。抛开其他流氓推广收入，光是扣费的半年收入就过百万，而这只是大量“伪彩色广播”病毒样本中的一个。整个产业链的暴利可想而知。

[25]某“伪彩色广播”病毒app的扣费统计背景

[26]“伪彩色广播”病毒app扣费通道的数据存储服务器

3.DNS劫持

作为亿万用户接入网络的基础设备，路由器安全的重要性不言而喻。近两年曝光的路由器漏洞和后门案例比比皆是。基本上主流路由器品牌无一幸免。虽然有厂商发布了补丁和固件，但普通用户很少主动更新升级路由器系统，因此路由器漏洞的持久性远高于普通PC平台；另一方面，对于路由器的安全防护一直是传统安全软件的空白点，用户的路由器一旦被抓往往无法察觉。

最近两年国内外针对路由器的攻击也非常频繁。目前我们发现的攻击方式主要分为两类。一种是利用漏洞或后门获取路由器系统权限后植入僵尸木马。一般ddos木马居多，也兼容arm、mips等常见嵌入式平台。另一种是获取路由器管理权限后篡改默认DNS服务器设置，通过DNS劫持用户流量，一般用于广告、钓鱼攻击等。

[27]兼容多平台的路由器DDOS木马样本

下面这个案例是我们最近发现的一个非常典型的dns劫持案例。劫持者通过一个路由器漏洞劫持用户DNS，在用户网页中注入JS劫持代码，实现导航劫持、电商广告劫持、暗刷流量等。针对d-link、tp-link、zte等路由器的攻击代码。也被发现在劫持代码中，路由器的DNS设置被篡改利用CSRF漏洞。

[28]路由器DNS流量劫持案例示意图

[29]d-link、tp-link、中兴等品牌路由器攻击代码

被篡改的恶意DNS会劫持常见导航站的静态资源域名，例如s0.hao123img.com、s0.qhimg.com等，劫持者会在网页引用的jquery库中注入JS代码，以实现后续的劫持行为。由于页面缓存的原因，通过JS缓存投毒还可以实现长期隐蔽劫持。被篡改的恶意DNS会劫持常用导航站的静态资源域名，如s0.hao123img.com、s0.qhimg.com等。劫持者会将JS代码注入到网页引用的jquery库中，实现后续的劫持。因为页面缓存，通过JS缓存投毒也可以实现长期隐蔽劫持。

[30]常见导航网站域名被劫持。

[31]恶意代码被注入网站引用的jquery库。

注入页面的劫持代码多用于广告暗刷和电商流量劫持。从发现的几十个被劫持的JS文件代码的历史变化可以看出，作者一直在不断尝试测试和改进不同的劫持方式。

[32]各大电商广告暗刷劫持码

【33】在网页中注入CPS广告，跳转到自己的电商导流平台。

我们简单追踪了劫机者的流量统计背景。从51la的统计来看，劫持者的流量还是很惊人的，日均PV在200w左右，2015年底高峰时甚至达到了800w左右。劫机者的暴利不难想象。

[34]51la DNS流量劫持者使用的统计背景

近两年来，DNS劫持活动非常频繁，恶意DNS数量迅速增加。我们监测到每年都有数百个新的恶意DNS服务器。针对路由器的劫持攻击不仅仅发生在中国。从蜜罐系统和小规模漏洞检测结果中，我们也捕捉到了很多针对路由器的全球DNS攻击。

[35]51la DNS流量劫持者使用的统计背景

[36]国外地区发现一例路由器CSRF漏洞“全家桶”，已被利用的攻击载荷超过20种。

下面的案例是，2016年初，我们的蜜罐系统抓到了一类针对路由器漏洞的扫描攻击，然后我们试图溯源，评估影响。在小范围内扫描检测某邻国部分活跃IP段后，我们发现有大量路由器暴露在外网，约30%的易受攻击路由器的DNS设置被篡改。

抛开劫持广告流量牟利不谈，如果想大量渗透或破坏一个国家或地区的网络，路由器目前的安全状况无疑可以作为非常合适的突破口，这并非危言耸听。

如下图所示，将易受攻击路由器的首选DNS设置为劫持服务器IP，备用DNS服务器设置为Google Public DNS(8.8.8.8)。

[37]邻国某网段大量易受攻击的路由器被劫持设置DNS。

【38】各种易受攻击的路由器被劫持为DNS设置。

4.神秘劫持

以一个神秘的劫持案作为故事的结尾，我在工作中遇到过很多神秘的样本，仿佛是隐藏在层层网络中的黑暗幽灵。不知道它是从哪里来的，也不知道它截获的信息最终去了哪里，留给我们的只有一个神秘的背影。

这批神秘的样本已经默默存活了很久，我们捕获的早期品种可以追溯到12年左右。先补充一下这个谜题的开头。这些样本大多来自一些可能被劫持的网络节点。请安静地看图。

[39]软件升级数据包的正常状态和异常状态之间的比较

[40]软件升级过程中的数据包捕获数据

15日初，我们捕获了一种新品种的样品。除了令人困惑的传播方式，样本本身还有许多有趣的技术细节。由于篇幅有限，内部分享的分析截图只有一张。虽然是高清，但是是编码的，安静看图也是老规矩。

[41]神秘样品技术分析示意图

0x02尾音符

关于流量的故事还有很多，劫持和反劫持的故事还会继续演绎很久。流量是很多互联网公司生存的基础。通过优秀的产品获取用户和流量才是唯一正确的途径。用户的信任来之不易，可以做到且珍惜。本文暂时告一段落，有兴趣的地方欢迎留言讨论。