路由器挟制导致广告肆虐
手机电脑打开网页经常莫名其妙的弹广告、跳转其他网站,也许并不是病毒在搞鬼!日前,360互联网平安中央追踪发现了一起路由器网络挟制的案例,网友反馈称自己一样平常上网泛起了莫名其妙弹出广告或者跳转到其他网站的征象,使用平安软件检查并未发现病毒。经剖析发现,始作俑者竟是网友家里的路由器!反馈用户使用的均为海内某几个品牌的路由器,而这些路由器存在着难以被实时察觉的网络挟制的行为。路由器作为家庭网关,本应负担珍爱家庭网络平安的义务,而这种恶意的网络挟制行为严重影响用户的上网平安。
我们在剖析用户反馈历程中发现,此次的挟制情形漫衍普遍,且各大网站均泛起问题,和之前常见的区域性挟制差别,也不是某几家网站存在问题。
在排除了机房问题,运营商链路问题,浏览器恶意插件,病毒木马等可能性之后,最终目的锁定在用户使用的路由器上。经由我们的剖析测试,发现用户使用的几款路由器中存在数据包窜改挟制问题。而挟制的目的包罗电商网站、网址导航、搜索引擎等网站,目的是赚取推广佣金;还会在其它一些网站中插入无关网页和游戏广告;甚至会直接把用户引向钓鱼或敲诈广告网站,对网民造成直接经济损失。
挟制历程剖析
蚂XX&睿X路由器挟制历程剖析:
首先我们提取了用户使用路由器的固件,对其举行了解包:
可以看出,这个路由器系统是在开源的OpenWrt基础上修改而来,我们剖析的这两款路由器所使用的固件均来自深圳一家专门做路由器固件定制的公司,从其官网展示的信息看,还存在多款使用同类固件的机械。
在对比剖析中,我们发现路由器固件中,存在网络数据包修改的功效,而修改后的内容和我们在网络抓包中获取到的挟制内容一致:
固件中提取的挟制相关文件和请求302跳转挟制
在原js内容末尾插入hxxp://113.113.120.118:2048/b.js
通过进一步剖析,梳理了其挟制的逻辑:
蚂XX&睿X路由器挟制流程
上图中,用于挟制的b.js又引用了多个js,在其中一个hxxp://cdn.cowmalls.com/script/static/js/g.js中看到最终广告页面:
引用的广告页面及展示效果:
由于是在路由器中做的挟制,接入这个路由器的移动端也会受到影响:
被插入广告图:
一个人可以注册几个头条号,申请多个头条号图文详解
在PC端中的挟制效果:
另外一款某知名品牌路由器挟制历程剖析
在另一款知名度较高的路由器中,我们也发现了类似的挟制功效:
固件及telnet中和挟制相关的部门
浏览器接见页面中被插入js代码
插入接见网站中的JS
我们剖析其挟制逻辑如下:
t.js混淆+RC4加密代码片断:而且不断更新变换加密及混淆方式以匹敌剖析:
t.js混淆+RC4加密代码片断
反混淆处置后代码如下图所示:JS中对phicomm.com、weibo.com、.gov.cn、.qq.com、.sina.com、.163.com、.weibo.com、.cctv.com、.baidu.com等几个大站点做了白名单处置,打开这些网站不会被插入广告,这些站点以外的网站则会凭据移动端和PC端插入差别的广告JS,其中移动端会有小图标广告或移动网盟的广告。
反混淆t.js内容及对应部门广告展示
挟制简图及部门挟制案例
Lypc.js反混淆后部门片断可看到其中插入广告的页面:
游戏广告js中,鼠标移动上去即自动打开游戏广告代码
最终自动弹出全屏的页游广告
在正常接见网站右下角插入广告图
对于此类网络挟制,360互联网平安中央提醒:
- 通俗网民只管选择更有保障正规厂商品牌路由器,而且保持路由器固件更新。一样平常上网也可以实验自动切换到https接见(现在主流站点多已经支持https的接见),制止通讯历程被窜改。
- 各大站长可以通过全站升级到HTTPS,防止此类挟制、窜改问题。
- 现在360浏览器已经对此类插入广告JS举行周全阻挡,使用360浏览器可有用过滤掉插入的各种广告。
本文来源于自互联网,不代表n5网立场,侵删。发布者:虚拟资源中心,转载请注明出处:https://www.n5w.com/248928.html
微信扫一扫 
