[21] 通過流量劫持推廣的“偽色播”病毒APP行為流程簡圖

從這個案例中我們也可以看出，移動端“劫持流量”很重要的一個出口就是“偽色情”誘導(dǎo)，這些病毒app基本上都是通過短信暗扣、誘導(dǎo)支付、廣告彈窗、流量暗刷以及推廣安裝等手段實現(xiàn)非法牟利。這條移動端的灰色產(chǎn)業(yè)鏈在近兩年已經(jīng)發(fā)展成熟，“色播”類樣本也成為移動端中感染量最大的惡意app家族分類之一。

[22] “偽色播”病毒APP進行誘導(dǎo)推廣 

這些“偽色播”病毒app安裝以后除了各種廣告推廣行為外，還會在后臺偷偷發(fā)送短信去定制多種運營商付費業(yè)務(wù)，并且對業(yè)務(wù)確認短信進行自動回復(fù)和屏蔽，防止用戶察覺；有些還集成了第三方支付的SDK，以VIP充值等方式誘導(dǎo)用戶付費，用戶到頭來沒看到想要的“福利”不說，吃了黃連也只能是有苦難言。

[23] 某“偽色播”病毒app通過短信定制業(yè)務(wù)進行扣費的接口數(shù)據(jù)包

[24]病毒app自動回復(fù)并屏蔽業(yè)務(wù)短信，防止用戶察覺

以其中某個專門做“色播誘導(dǎo)”業(yè)務(wù)的廣告聯(lián)盟為例，其背后的推廣渠道多達數(shù)百個，每年用于推廣結(jié)算的財務(wù)流水超過5000w元。從其旗下的某款色播病毒app的管理后臺來看，短短半年內(nèi)扣費訂單數(shù)據(jù)超過100w條，平均每個用戶扣費金額從6~20元不等，拋開其他的流氓推廣收益，僅扣費這一項的半年收益總額就過百萬，而這只是海量“偽色播”病毒樣本中的一個，那整個產(chǎn)業(yè)鏈的暴利收益可想而知。

[25] 某“偽色播”病毒app的扣費統(tǒng)計后臺

[26] 某“偽色播”病毒app扣費通道的數(shù)據(jù)存儲服務(wù)器

3.DNS劫持

路由器作為億萬用戶網(wǎng)絡(luò)接入的基礎(chǔ)設(shè)備，其安全的重要性不言而喻。最近兩年曝光的路由器漏洞、后門等案例比比皆是，主流路由器品牌基本上無一漏網(wǎng)。雖然部分廠商發(fā)布了修復(fù)補丁固件，但是普通用戶很少會主動去更新升級路由器系統(tǒng)，所以路由器漏洞危害的持續(xù)性要遠高于普通PC平臺；另一方面，針對路由器的安全防護也一直是傳統(tǒng)安全軟件的空白點，用戶路由器一旦中招往往無法察覺。

國內(nèi)外針對路由器的攻擊事件最近兩年也非常頻繁，我們目前發(fā)現(xiàn)的攻擊方式主要分為兩大類，一類是利用漏洞或后門獲取路由器系統(tǒng)權(quán)限后種植僵尸木馬，一般以ddos木馬居多，還兼容路由器常見的arm、mips等嵌入式平臺；另一類是獲取路由器管理權(quán)限后篡改默認的DNS服務(wù)器設(shè)置，通過DNS劫持用戶流量，一般用于廣告刷量、釣魚攻擊等。

[27] 兼容多平臺的路由器DDOS木馬樣本

下面這個案例是我們近期發(fā)現(xiàn)的一個非常典型的dns劫持案例，劫持者通過路由器漏洞劫持用戶DNS，在用戶網(wǎng)頁中注入JS劫持代碼，實現(xiàn)導(dǎo)航劫持、電商廣告劫持、流量暗刷等。從劫持代碼中還發(fā)現(xiàn)了針對d-link、tp-link、zte等品牌路由器的攻擊代碼，利用CSRF漏洞篡改路由器DNS設(shè)置。

[28] 路由器DNS流量劫持案例簡圖

[29] 針對d-link、tp-link、zte等品牌路由器的攻擊代碼

被篡改的惡意DNS會劫持常見導(dǎo)航站的靜態(tài)資源域名，例如s0.hao123img.com、s0.qhimg.com等，劫持者會在網(wǎng)頁引用的jquery庫中注入JS代碼，以實現(xiàn)后續(xù)的劫持行為。由于頁面緩存的原因，通過JS緩存投毒還可以實現(xiàn)長期隱蔽劫持。

[30] 常見的導(dǎo)航站點域名被劫持

[31] 網(wǎng)站引用的jquery庫中被注入惡意代碼

被注入頁面的劫持代碼多用來進行廣告暗刷和電商流量劫持，從發(fā)現(xiàn)的數(shù)十個劫持JS文件代碼的歷史變化中，可以看出作者一直在不斷嘗試測試改進不同的劫持方式。

[32] 劫持代碼進行各大電商廣告的暗刷

[33] 在網(wǎng)頁中注入CPS廣告，跳轉(zhuǎn)到自己的電商導(dǎo)流平臺

我們對劫持者的流量統(tǒng)計后臺進行了簡單的跟蹤，從51la的數(shù)據(jù)統(tǒng)計來看，劫持流量還是非常驚人的，日均PV在200w左右，在2015年末的高峰期甚至達到800w左右，劫持者的暴利收益不難想象。

[34] DNS流量劫持者使用的51啦統(tǒng)計后臺

最近兩年DNS劫持活動非常頻繁，惡意DNS數(shù)量增長也非常迅速，我們監(jiān)測到的每年新增惡意DNS服務(wù)器就多達上百個。針對路由器的劫持攻擊案例也不僅僅發(fā)生在國內(nèi)，從蜜罐系統(tǒng)和小范圍漏洞探測結(jié)果中，我們也捕獲到了多起全球范圍內(nèi)的路由器DNS攻擊案例。

[35] DNS流量劫持者使用的51啦統(tǒng)計后臺

[36] 在國外地區(qū)發(fā)現(xiàn)的一例路由器CSRF漏洞“全家桶”，被利用的攻擊playload多達20多種

下面的案例是2016年初我們的蜜罐系統(tǒng)捕獲到一類針對路由器漏洞的掃描攻擊，隨后我們嘗試進行溯源和影響評估，在對某鄰國的部分活躍IP段進行小范圍的掃描探測后，發(fā)現(xiàn)大批量的路由器被暴露在外網(wǎng)，其中存在漏洞的路由器有30%左右被篡改了DNS設(shè)置。

拋開劫持廣告流量牟利不談，如果要對一個國家或地區(qū)的網(wǎng)絡(luò)進行大批量的滲透或破壞，以目前路由器的千瘡百孔安全現(xiàn)狀，無疑可以作為很適合的一個突破口，這并不是危言聳聽。

如下圖中漏洞路由器首選DNS被設(shè)置為劫持服務(wù)器IP，備選DNS服務(wù)器設(shè)為谷歌公共DNS(8.8.8.8)。

[37] 鄰國某網(wǎng)段中大量存在漏洞的路由器被劫持DNS設(shè)置

[38] 各種存在漏洞的路由器被劫持DNS設(shè)置

4.神秘劫持

以一個神秘的劫持案例作為故事的結(jié)尾，在工作中曾經(jīng)陸續(xù)遇到過多次神秘樣本，仿佛是隱藏在層層網(wǎng)絡(luò)中的黑暗幽靈，不知道它從哪里來，也不知道它截獲的信息最終流向哪里，留給我們的只有迷一般的背影。

這批迷一樣的樣本已經(jīng)默默存活了很久，我們捕獲到早期變種可以追溯到12年左右。下面我們先把這個迷的開頭補充下，這些樣本絕大多數(shù)來自于某些可能被劫持的網(wǎng)絡(luò)節(jié)點，請靜靜看圖。

[39] 某軟件升級數(shù)據(jù)包正常狀態(tài)與異常狀態(tài)對比

[40] 某軟件升級過程中的抓包數(shù)據(jù)

我們在15年初的時候捕獲到了其中一類樣本的新變種，除了迷一樣的傳播方式，樣本本身還有很多非常有意思的技術(shù)細節(jié)，限于篇幅這里只能放1張內(nèi)部分享的分析截圖，雖然高清但是有碼，同樣老規(guī)矩靜靜看圖。

[41] 神秘樣本技術(shù)分析簡圖

尾記

流量圈的故事還有很多，劫持與反劫持的故事在很長時間內(nèi)還將繼續(xù)演繹下去。流量是很多互聯(lián)網(wǎng)企業(yè)賴以生存的基礎(chǔ)，通過優(yōu)秀的產(chǎn)品去獲得用戶和流量是唯一的正途，用戶的信任來之不易，且行且珍惜。文章到此暫告一段落，有感興趣的地方歡迎留言討論