“臭名昭著”的網(wǎng)絡(luò)入侵手段——掛馬攻擊�,正在陪同著網(wǎng)絡(luò)技術(shù)的發(fā)展不停進(jìn)化出新的攻擊特征���。近日�����,騰訊安適反病毒實(shí)驗(yàn)室捕獲了一類(lèi)通過(guò)網(wǎng)頁(yè)廣告掛馬方式傳播的惡意程序��,木馬通過(guò)色情鏈接廣告誘導(dǎo)用戶(hù)點(diǎn)擊后����,在受害者電腦上添加后門(mén),同時(shí)還會(huì)運(yùn)行數(shù)字貨幣挖礦的程序從中獲利��。
據(jù)騰訊安適反病毒實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)���,這類(lèi)通過(guò)大型網(wǎng)站以及“激情視頻”等小型網(wǎng)站實(shí)施的“掛馬”攻擊存在新的發(fā)展態(tài)勢(shì)�����。結(jié)合騰訊電腦管家和哈勃分析系統(tǒng)的威脅感知數(shù)據(jù)��,騰訊安適反病毒實(shí)驗(yàn)室發(fā)現(xiàn)此輪掛馬攻擊在傳播方式����、攻擊目標(biāo)����、盈利模式等方面都有了明顯變革,對(duì)用戶(hù)造成的威脅也更加嚴(yán)重�����。
新一輪掛馬攻擊已持續(xù)一年 或感染 200 萬(wàn)電腦
據(jù)騰訊安適反病毒實(shí)驗(yàn)室分析發(fā)現(xiàn)��,此輪攻擊開(kāi)始于 2016 年 7 月�,已持續(xù)約一年��,涉及到payload15 個(gè)�,各類(lèi)域名 72 個(gè)����,感染涉及全國(guó) 31 個(gè)省份近 10 萬(wàn)用戶(hù)�。其中山東、河南�、江蘇、河北等省排名靠前��。
(受感染省份前十名)
騰訊安適反病毒實(shí)驗(yàn)室安適專(zhuān)家進(jìn)一步指出���,掛馬網(wǎng)站日拜候量峰值3. 4 萬(wàn),日感染量峰值高達(dá)0. 68 萬(wàn)��。同時(shí)由于網(wǎng)吧等使用場(chǎng)景的殺軟安置率較低���,導(dǎo)致實(shí)際感染量可能遠(yuǎn)遠(yuǎn)超過(guò)目前監(jiān)測(cè)到的 10 萬(wàn)臺(tái)電腦����。哈勃大數(shù)據(jù)預(yù)測(cè)�����,最嚴(yán)重情況下,木馬的感染量可達(dá)到 200 萬(wàn)����。
新聞門(mén)戶(hù)首當(dāng)其中 “自運(yùn)營(yíng)”掛馬方式漸成主流
大規(guī)模的電腦感染量與掛馬攻擊多變的攻擊方式關(guān)系密切,據(jù)騰訊安適反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn)�,此輪掛馬方式主要有“入侵掛馬”、“DNS劫持”�����、“廣告投毒”��、“自建推廣”四種��。每一種掛馬方式在破壞力��、攻擊成本���、攻擊效率等攻擊特征上都表示出明顯的“優(yōu)勢(shì)”���。
其中, 對(duì)于“廣告投毒”而言����,雖然需要較高的成本�����,��,但“效果良好”且技術(shù)成本不高�����,因此成為了非法分子的主要攻擊方式之一���。據(jù)了解,“廣告投毒”系木馬集團(tuán)通過(guò)在大型網(wǎng)站上投放廣告的方式�����,借助某些網(wǎng)站對(duì)于廣告審查不嚴(yán)格的空子���,將本身帶毒的網(wǎng)頁(yè)代碼向用戶(hù)進(jìn)行展示,并觸發(fā)用戶(hù)側(cè)瀏覽器的漏洞�����,達(dá)到大范圍傳播的目的?���!皬V告投毒”染指的網(wǎng)站類(lèi)型也多種多樣,其中以新聞門(mén)戶(hù)類(lèi)網(wǎng)站首當(dāng)其沖���,除此之外�,導(dǎo)航網(wǎng)站�、游戲動(dòng)漫等二次元相關(guān)網(wǎng)站、視頻網(wǎng)站也受害嚴(yán)重����。
(受影響的網(wǎng)站類(lèi)型分布(已排除無(wú)法歸類(lèi)的小網(wǎng)站))
除此之外, 騰訊安適反病毒實(shí)驗(yàn)室還發(fā)現(xiàn)���,掛馬攻擊的傳播方式已經(jīng)衍生出技術(shù)門(mén)檻較低的“自建推廣”模式��,這種模式受外界環(huán)境影響較小����,更簡(jiǎn)單高效���。不依賴(lài)其他網(wǎng)站漏洞��,不依賴(lài)廣告渠道�����,適合大范圍推廣��。
該種掛馬方式往往會(huì)在當(dāng)下熱門(mén)的關(guān)鍵詞做文章�,用戶(hù)搜索關(guān)鍵詞之后會(huì)搜索到“無(wú)毒”的網(wǎng)站,但是當(dāng)用戶(hù)拜候之后����,非法分子就會(huì)以“域名遷移提醒”的方式引導(dǎo)用戶(hù)拜候真正“含毒”的網(wǎng)站。同時(shí)����,非法分子為了增加感染量,使用了“明槍冷箭”雙管齊下的方式進(jìn)行傳播����,即使瀏覽器沒(méi)有漏洞,也會(huì)引導(dǎo)用戶(hù)下載偽造的播放器傳播病毒��。
(“無(wú)毒”網(wǎng)站)
(域名遷移提醒到“有毒”網(wǎng)站)
盈利模式多種多樣 游戲黑產(chǎn)坐上“頭把交椅”
在掛馬方式“推陳出新”的同時(shí)����,非法分子為了進(jìn)一步攫取利益,也制造了多種多樣的盈利模式���。如偽造交友軟件欺騙用戶(hù)充值����、推博識(shí)彩類(lèi)軟件天天棋牌游戲中心����、推廣軟件、盜取游戲賬號(hào)等���。
(偽造交友軟件欺騙用戶(hù)充值)
(通過(guò)在受害者電腦上安置各種推廣軟件后�����,從軟件推廣商處分成)
其中��,通過(guò)盜取游戲賬號(hào)盈利的模式已經(jīng)形成了系統(tǒng)的黑產(chǎn)鏈條��。即使掛馬站長(zhǎng)不參與洗號(hào)����、金幣出售等下游環(huán)節(jié)��,直接通過(guò)賣(mài)賬號(hào)信息就可以獲利不菲。以某知名網(wǎng)游為例�,洗完的賬號(hào)經(jīng)過(guò)等級(jí)過(guò)濾: 85 級(jí)以上價(jià)格:2. 8 元一個(gè); 40 級(jí)以上價(jià)格:1. 8 元一個(gè);沒(méi)過(guò)濾的價(jià)格:一個(gè)賬號(hào)0.2-0. 5 元。
(非法分子盜取游戲賬號(hào)之后的交易過(guò)程)
經(jīng)騰訊安適反病毒實(shí)驗(yàn)室估算�,游戲黑產(chǎn)在黑產(chǎn)盈利中的比例明顯上升,已經(jīng)超過(guò)軟件推廣����,這和近些年游戲產(chǎn)業(yè)蓬勃發(fā)展有密不成分的關(guān)系。
