QQ交流群  QQ群号:592590819QQ在线客服

RootKit木马对HTTPS站点进行中间人攻击

来源:SSLLA  时间:2017-09-13 18:29:43


全网HTTPS大势所趋,许多网站开始部署SSL证书,实现HTTPS全站化,以此提高网站的安全性能,而黑客们似乎也没有停歇过,HTTPS固然好,却直接或者间接的使他们的利益受损。于是乎,他们开始将矛头指向SSL证书,而最简单最常见的一种方法就是制作假的SSL证书,我们称之为中间人劫持。

上个月,360发布了一篇《“移花接木”偷换广告:HTTPS劫匪木马每天打劫200万次网络访问》的文章,向使用SSL证书的客户发出预警。不久前,360互联网安全中心发现了一款外挂软件,该软件中附带着劫持木马,运营这款外挂软件之后,其会加载RootKit病毒,然后劫持各大导航站和电商网站或者利用中间人的手法攻击劫持HTTPS网站,同时还能阻止想Anti-RootKit这样子专业内核级别的查杀攻击的运行。

通常木马会通过劫持导航或者电商网站,利用中间人手法进行攻击,即使是HTTPS站点,也避免不了这种劫持,下图是中间人攻击的示意图。

通过将yyqg.dll注入到winlogon.exe这个进程中,然后执行,导入黑客伪造的常见网站SSL证书,比如像百度、2345导航这一类网站,然后替换该站点的SSL证书,这样黑客就可以拦截到我们的网络数据包,被劫持的站点就会在其网站后面带上一个特有的ID,该ID就是其推广ID,从而获取推广费用,谋取暴利。

鉴于以上情况,我们建议广大朋友们不要来源不明的软件,尤其是游戏外挂类软件,这类软件经常有各种木马潜藏在其中。同时我们还发现,在一些系统装机盘中,也存在这类病毒的踪迹,如果使用这类装机盘安装系统,木马就会自动在系统安装完成后运行,后果可想而知。

相关文章