劫持流量原理是什么?关于劫持流量的种类和产生

2021年9月26日 36点热度 0条评论 来源: douya0012

流量圈的故事很多,劫持与反劫持的故事在很长时间内将继续演绎下去。流量是很多互联网企业赖以生存的基础,通过优秀的产品去获得用户和流量是唯一的正途,用户的信任来之不易,且行且珍惜。那么你的流量都被劫持到哪里去了?是谁劫持了你的流量
[21] 通过流量劫持推广的“伪色播”病毒APP行为流程简图
从这个案例中我们也可以看出,移动端“劫持流量”很重要的一个出口就是“伪色情”诱导,这些病毒app基本上都是通过短信暗扣、诱导支付、广告弹窗、流量暗刷以及推广安装等手段实现非法牟利。这条移动端的灰色产业链在近两年已经发展成熟,“色播”类样本也成为移动端中感染量最大的恶意app家族分类之一。
[22]“伪色播”病毒APP进行诱导推广
IIS7网站监控工具可以做到提前预防各类网站劫持、并且是免费在线查询、适用于各大站长、政府网站、学校、公司、医院等网站。他可以做到24小时定时监控、同时它可以让你知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及DNS是否被污染等等功能、更是拥有独家检测网站真实的完全打开时间、让你作为站长能清楚的知道自己网站的健康情况!
官方地址:IIS7服务器管理工具IIS7服务器管理工具
官方图

这些“伪色播”病毒app安装以后除了各种广告推广行为外,还会在后台偷偷发送短信去定制多种运营商付费业务,并且对业务确认短信进行自动回复和屏蔽,防止用户察觉;有些还集成了第三方支付的SDK,以VIP充值等方式诱导用户付费,用户到头来没看到想要的“福利”不说,吃了黄连也只能是有苦难言。
某“伪色播”病毒app通过短信定制业务进行扣费的接口数据包
[24]病毒app自动回复并屏蔽业务短信,防止用户察觉
以其中某个专门做“色播诱导”业务的广告联盟为例,其背后的推广渠道多达数百个,每年用于推广结算的财务流水超过5000w元。从其旗下的某款色播病毒app的管理后台来看,短短半年内扣费订单数据超过100w条,平均每个用户扣费金额从6~20元不等,抛开其他的流氓推广收益,仅扣费这一项的半年收益总额就过百万,而这只是海量“伪色播”病毒样本中的一个,那整个产业链的暴利收益可想而知。
[25] 某“伪色播”病毒app的扣费统计后台
[26] 某“伪色播”病毒app扣费通道的数据存储服务器
3.DNS劫持
路由器作为亿万用户网络接入的基础设备,其安全的重要性不言而喻。最近两年曝光的路由器漏洞、后门等案例比比皆是,主流路由器品牌基本上无一漏网。虽然部分厂商发布了修复补丁固件,但是普通用户很少会主动去更新升级路由器系统,所以路由器漏洞危害的持续性要远高于普通PC平台;另一方面,针对路由器的安全防护也一直是传统安全软件的空白点,用户路由器一旦中招往往无法察觉。
国内外针对路由器的攻击事件最近两年也非常频繁,我们目前发现的攻击方式主要分为两大类,一类是利用漏洞或后门获取路由器系统权限后种植僵尸木马,一般以ddos木马居多,还兼容路由器常见的arm、mips等嵌入式平台;另一类是获取路由器管理权限后篡改默认的DNS服务器设置,通过DNS劫持用户流量,一般用于广告刷量、钓鱼攻击等。
[27] 兼容多平台的路由器DDOS木马样本
下面这个案例是我们近期发现的一个非常典型的dns劫持案例,劫持者通过路由器漏洞劫持用户DNS,在用户网页中注入JS劫持代码,实现导航劫持、电商广告劫持、流量暗刷等。从劫持代码中还发现了针对d-link、tp-link、zte等品牌路由器的攻击代码,利用CSRF漏洞篡改路由器DNS设置。
[28] 针对d-link、tp-link、zte等品牌路由器的攻击代码
被篡改的恶意DNS会劫持常见导航站的静态资源域名,例如s0.hao123img.com、s0.qhimg.com等,劫持者会在网页引用的jquery库中注入JS代码,以实现后续的劫持行为。由于页面缓存的原因,通过JS缓存投毒还可以实现长期隐蔽劫持。
[29] 网站引用的jquery库中被注入恶意代码
被注入页面的劫持代码多用来进行广告暗刷和电商流量劫持,从发现的数十个劫持JS文件代码的历史变化中,可以看出作者一直在不断尝试测试改进不同的劫持方式。
[30] 在网页中注入CPS广告,跳转到自己的电商导流平台
我们对劫持者的流量统计后台进行了简单的跟踪,从51la的数据统计来看,劫持流量还是非常惊人的,日均PV在200w左右,在2015年末的高峰期甚至达到800w左右,劫持者的暴利收益不难想象。
[31] DNS流量劫持者使用的51啦统计后台
最近两年DNS劫持活动非常频繁,恶意DNS数量增长也非常迅速,我们监测到的每年新增恶意DNS服务器就多达上百个。针对路由器的劫持攻击案例也不仅仅发生在国内,从蜜罐系统和小范围漏洞探测结果中,我们也捕获到了多起全球范围内的路由器DNS攻击案例。
[32] 在国外地区发现的一例路由器CSRF漏洞“全家桶”,被利用的攻击playload多达20多种
下面的案例是2016年初我们的蜜罐系统捕获到一类针对路由器漏洞的扫描攻击,随后我们尝试进行溯源和影响评估,在对某邻国的部分活跃IP段进行小范围的扫描探测后,发现大批量的路由器被暴露在外网,其中存在漏洞的路由器有30%左右被篡改了DNS设置。
抛开劫持广告流量牟利不谈,如果要对一个国家或地区的网络进行大批量的渗透或破坏,以目前路由器的千疮百孔安全现状,无疑可以作为很适合的一个突破口,这并不是危言耸听。
尾记
流量圈的故事还有很多,劫持与反劫持的故事在很长时间内还将继续演绎下去。流量是很多互联网企业赖以生存的基础,通过优秀的产品去获得用户和流量是唯一的正途,用户的信任来之不易,且行且珍惜。文章到此暂告一段落,有感兴趣的地方欢迎留言讨论

    原文作者:douya0012
    原文地址: https://blog.csdn.net/douya0012/article/details/111220734
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系管理员进行删除。