“臭名昭著”的網(wǎng)絡(luò)入侵手段——掛馬攻擊,正在陪同著網(wǎng)絡(luò)技術(shù)的發(fā)展不停進(jìn)化出新的攻擊特征���。近日�����,騰訊安適反病毒實(shí)驗(yàn)室捕獲了一類通過網(wǎng)頁廣告掛馬方式傳播的惡意程序,木馬通過色情鏈接廣告誘導(dǎo)用戶點(diǎn)擊后����,在受害者電腦上添加后門���,同時還會運(yùn)行數(shù)字貨幣挖礦的程序從中獲利。
據(jù)騰訊安適反病毒實(shí)驗(yàn)室監(jiān)測發(fā)現(xiàn)����,這類通過大型網(wǎng)站以及“激情視頻”等小型網(wǎng)站實(shí)施的“掛馬”攻擊存在新的發(fā)展態(tài)勢�。結(jié)合騰訊電腦管家和哈勃分析系統(tǒng)的威脅感知數(shù)據(jù)�,騰訊安適反病毒實(shí)驗(yàn)室發(fā)現(xiàn)此輪掛馬攻擊在傳播方式�、攻擊目標(biāo)、盈利模式等方面都有了明顯變革�,對用戶造成的威脅也更加嚴(yán)重��。
新一輪掛馬攻擊已持續(xù)一年 或感染 200 萬電腦
據(jù)騰訊安適反病毒實(shí)驗(yàn)室分析發(fā)現(xiàn)����,此輪攻擊開始于 2016 年 7 月�,已持續(xù)約一年,涉及到payload15 個�����,各類域名 72 個����,感染涉及全國 31 個省份近 10 萬用戶�����。其中山東�、河南�����、江蘇、河北等省排名靠前�。
(受感染省份前十名)
騰訊安適反病毒實(shí)驗(yàn)室安適專家進(jìn)一步指出���,掛馬網(wǎng)站日拜候量峰值3. 4 萬�,日感染量峰值高達(dá)0. 68 萬��。同時由于網(wǎng)吧等使用場景的殺軟安置率較低�,導(dǎo)致實(shí)際感染量可能遠(yuǎn)遠(yuǎn)超過目前監(jiān)測到的 10 萬臺電腦�����。哈勃大數(shù)據(jù)預(yù)測��,最嚴(yán)重情況下����,木馬的感染量可達(dá)到 200 萬��。
新聞門戶首當(dāng)其中 “自運(yùn)營”掛馬方式漸成主流
大規(guī)模的電腦感染量與掛馬攻擊多變的攻擊方式關(guān)系密切�,據(jù)騰訊安適反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn),此輪掛馬方式主要有“入侵掛馬”���、“DNS劫持”��、“廣告投毒”、“自建推廣”四種����。每一種掛馬方式在破壞力��、攻擊成本�、攻擊效率等攻擊特征上都表示出明顯的“優(yōu)勢”�。
其中���, 對于“廣告投毒”而言�����,雖然需要較高的成本��,�,但“效果良好”且技術(shù)成本不高,因此成為了非法分子的主要攻擊方式之一��。據(jù)了解,“廣告投毒”系木馬集團(tuán)通過在大型網(wǎng)站上投放廣告的方式��,借助某些網(wǎng)站對于廣告審查不嚴(yán)格的空子,將本身帶毒的網(wǎng)頁代碼向用戶進(jìn)行展示�����,并觸發(fā)用戶側(cè)瀏覽器的漏洞,達(dá)到大范圍傳播的目的���?���!皬V告投毒”染指的網(wǎng)站類型也多種多樣�,其中以新聞門戶類網(wǎng)站首當(dāng)其沖��,除此之外�,導(dǎo)航網(wǎng)站����、游戲動漫等二次元相關(guān)網(wǎng)站�、視頻網(wǎng)站也受害嚴(yán)重���。
(受影響的網(wǎng)站類型分布(已排除無法歸類的小網(wǎng)站))
除此之外���, 騰訊安適反病毒實(shí)驗(yàn)室還發(fā)現(xiàn)�����,掛馬攻擊的傳播方式已經(jīng)衍生出技術(shù)門檻較低的“自建推廣”模式,這種模式受外界環(huán)境影響較小���,更簡單高效���。不依賴其他網(wǎng)站漏洞�����,不依賴廣告渠道�,適合大范圍推廣���。
該種掛馬方式往往會在當(dāng)下熱門的關(guān)鍵詞做文章�,用戶搜索關(guān)鍵詞之后會搜索到“無毒”的網(wǎng)站���,但是當(dāng)用戶拜候之后��,非法分子就會以“域名遷移提醒”的方式引導(dǎo)用戶拜候真正“含毒”的網(wǎng)站����。同時����,非法分子為了增加感染量���,使用了“明槍冷箭”雙管齊下的方式進(jìn)行傳播,即使瀏覽器沒有漏洞��,也會引導(dǎo)用戶下載偽造的播放器傳播病毒。
(“無毒”網(wǎng)站)
(域名遷移提醒到“有毒”網(wǎng)站)
盈利模式多種多樣 游戲黑產(chǎn)坐上“頭把交椅”
在掛馬方式“推陳出新”的同時,非法分子為了進(jìn)一步攫取利益�����,也制造了多種多樣的盈利模式��。如偽造交友軟件欺騙用戶充值�����、推博識彩類軟件天天棋牌游戲中心、推廣軟件����、盜取游戲賬號等���。
(偽造交友軟件欺騙用戶充值)
(通過在受害者電腦上安置各種推廣軟件后,從軟件推廣商處分成)
其中����,通過盜取游戲賬號盈利的模式已經(jīng)形成了系統(tǒng)的黑產(chǎn)鏈條。即使掛馬站長不參與洗號�����、金幣出售等下游環(huán)節(jié),直接通過賣賬號信息就可以獲利不菲。以某知名網(wǎng)游為例�����,洗完的賬號經(jīng)過等級過濾: 85 級以上價(jià)格:2. 8 元一個; 40 級以上價(jià)格:1. 8 元一個;沒過濾的價(jià)格:一個賬號0.2-0. 5 元��。
(非法分子盜取游戲賬號之后的交易過程)
經(jīng)騰訊安適反病毒實(shí)驗(yàn)室估算,游戲黑產(chǎn)在黑產(chǎn)盈利中的比例明顯上升�����,已經(jīng)超過軟件推廣���,這和近些年游戲產(chǎn)業(yè)蓬勃發(fā)展有密不成分的關(guān)系�����。
