新型Web劫持技术现身专攻搜索引擎-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

新型Web劫持技术现身专攻搜索引擎

发表于: 2013-9-8 21:52 2007

新型Web劫持技术现身专攻搜索引擎

清风破

2013-9-8 21:52

2007

443K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2F1k6i4c8Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1j5J5x3o6p5K6i4K6u0r3x3o6R3J5x3q4)9J5c8V1p5J5x3o6p5K6x3o6R3J5x3o6x3H3y4o6p5H3y4q4)9J5k6i4y4Z5N6r3#2D9
f80K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2F1k6i4c8Q4x3X3g2U0L8$3#2Q4x3X3g2U0L8W2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3 2013年08月20日09：22 来源：eNet硅谷动力

【文章摘要】近期，瑞星互联网攻防实验室截获了一例利用script脚本进行Web劫持的攻击案例，在该案例中，黑客利用一批新闻页面重置了搜索引擎页面，并将搜索结果替换为自己制作的假页面，以达到恶意推广的目的。
　　近期，瑞星互联网攻防实验室截获了一例利用script脚本进行Web劫持的攻击案例，在该案例中，黑客利用一批新闻页面重置了搜索引擎页面，并将搜索结果替换为自己制作的假页面，以达到恶意推广的目的。瑞星安全专家表示，这种Web劫持在国内尚属首例，同时也非常危险，用户稍不留神就可能进入黑客制作的钓鱼页面，从而被骗取钱财及隐私信息。因此，广大用户在上网时应随时保持警惕，一旦发现页面内容出现异常，应马上核对所在页面的网址，以免上当受骗。

　　瑞星安全专家指出，该类新型Web劫持是利用script脚本实现的。在已知的案例中，黑客入侵了某地方门户网站，篡改了该网站的新闻页面，并向这些页面植入自己的广告、新闻及恶意代码。一旦用户从搜索结果页面点击进入被篡改过的新闻页面，script脚本就会用假页面置换原搜索结果页面。因为该黑客使用了与原搜索引擎极其近似的域名，并阻止浏览器的后退功能退回原页面，所以一般用户很难察觉自己打开的网站已经被调包了。
瑞星安全专家表示，这种新型Web劫持非常危险，今后还有可能有更多网站遭遇劫持，其中搜索引擎、金融、电商以及票务等网站可能成为高危攻击目标。它能够悄无声息地替换用户打开的任意页面，在用户以为自己仍在浏览常用网站时，却落入了黑客的圈套，受害的用户将在毫不知情的情况下被套取钱财及个人隐私信息。因此，瑞星安全专家再次提醒广大用户，浏览网站时，页面出现任何不同寻常的变化都要警惕，同时仔细核对页面地址，以免遭受不必要的损失。
附：瑞星互联网攻防实验室《Web劫持搜索页面分析报告》

　　Web劫持搜索页面分析报告

　　现象分析

　　地址：864K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9K6c8Y4N6V1i4K6y4p5i4K6t1#2c8o6m8Q4x3U0g2o6x3W2)9J5y4f1t1$3i4K6t1#2b7V1y4Q4x3U0g2o6y4#2)9J5y4f1x3#2i4K6t1#2b7V1u0Q4x3U0g2q4z5g2)9J5y4f1x3&6i4K6t1#2b7U0c8Q4x3U0g2o6z5g2)9J5y4f1f1K6i4K6t1#2c8o6y4Q4x3U0g2n7x3q4)9J5y4f1x3@1i4K6t1#2b7K6c8Q4x3U0g2n7b7#2)9J5y4f1b7J5i4K6t1#2b7V1q4Q4x3U0g2o6x3#2)9J5k6q4)9J5k6q4)9J5y4f1y4q4i4K6t1#2b7f1u0Q4x3U0g2n7y4#2)9J5y4f1u0n7i4K6t1#2c8o6m8Q4x3U0g2o6x3W2)9J5y4f1y4q4i4K6t1#2b7K6g2Q4x3U0g2o6c8q4)9J5y4f1j5^5

　　打开以后页面为正常页面。
在这个页面中，点击域名是870K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6X3L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5k6h3y4F1i4@1f1$3i4K6R3^5i4K6V1$3N6%4N6%4i4K6u0W2j5$3&6F1j5%4N6Q4x3X3g2U0L8W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4#2!0m8b7W2)9&6z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7#2)9&6b7g2!0q4y4W2)9^5z5g2)9&6x3#2!0q4y4g2!0n7b7#2)9^5x3q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4z5g2)9^5x3q4)9^5z5g2!0q4z5g2!0m8x3g2!0n7z5g2!0q4y4g2)9^5c8q4!0m8x3g2!0q4y4g2)9^5c8g2!0n7b7W2!0q4z5q4!0m8c8g2!0n7c8W2!0q4z5g2)9&6y4#2!0m8c8g2!0q4y4#2)9&6b7W2!0m8c8g2!0q4y4W2!0m8x3q4)9^5y4#2!0q4z5g2!0m8x3g2!0n7y4g2!0q4z5g2)9&6c8q4!0m8x3W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
　但是随后能就发现之前的页面已经变成了一个其他网站的地址：

　　100K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0W2P5r3&6T1x3K6V1I4j5i4R3#2x3o6k6U0i4K6u0W2j5$3!0E0i4K6u0W2j5X3q4A6k6s2g2^5N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1k6Q4x3@1k6%4k6q4)9K6c8q4)9J5y4f1b7H3i4K6t1#2b7K6u0Q4x3U0g2n7y4W2)9J5y4f1u0o6i4K6t1#2b7K6N6Q4x3U0g2o6y4g2)9J5y4f1u0n7i4K6t1#2c8e0W2Q4x3U0g2o6z5g2)9J5y4f1t1@1i4K6t1#2b7K6W2Q4x3U0g2q4x3#2)9J5y4f1b7K6i4K6t1#2b7U0m8Q4x3U0g2o6y4q4)9J5y4f1x3@1i4K6t1#2b7V1y4Q4x3U0g2p5x3W2)9J5y4f1u0m8i4K6t1#2b7K6y4Q4x3X3c8Q4x3X3c8Q4x3U0g2o6c8g2)9J5y4f1q4n7i4K6t1#2b7U0N6Q4x3U0g2n7b7W2)9J5y4f1b7H3i4K6t1#2b7K6u0Q4x3U0g2o6c8g2)9J5y4f1x3#2i4K6t1#2b7@1c8Q4x3U0g2r3z5l9`.`.

然后，我们重新打开原页面，点击域名不是232K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6X3L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5k6h3y4F1i4@1f1$3i4K6R3^5i4K6V1$3N6%4N6%4i4K6u0W2j5$3&6F1j5%4N6Q4x3X3g2U0L8W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4#2!0m8b7W2)9&6z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5c8W2)9&6x3g2!0q4y4#2)9^5c8g2!0n7x3q4!0q4y4g2)9^5c8g2)9&6c8W2!0q4z5g2!0m8x3g2!0n7y4g2!0q4z5g2)9&6c8q4!0m8x3W2!0q4y4q4!0n7z5q4)9^5c8q4!0q4y4q4!0n7b7#2)9&6b7g2!0q4y4g2)9^5c8W2)9&6z5q4!0q4y4W2)9^5z5q4)9&6x3q4!0q4y4g2)9^5y4g2!0n7y4W2!0q4y4q4!0n7b7W2)9&6y4W2!0q4y4g2)9&6b7#2!0n7x3q4!0q4y4g2)9&6c8q4)9^5x3q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

　　原理分析

　　通过现象的分析，我们推测很有可能是新打开的网站里面存在问题。所以挑选了一个网页对其源码进行分析，主要分析其内部引入的脚本文件内容，分析的URL地址是39cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4N6X3L8X3g2%4M7#2)9J5k6h3y4G2L8g2)9J5k6h3y4F1i4K6u0r3K9r3g2S2L8s2c8Z5i4K6u0r3K9q4)9J5c8U0t1H3x3e0y4Q4x3X3b7H3y4W2)9J5c8U0x3H3i4K6u0r3j5$3!0F1N6r3g2F1N6s2c8Q4y4h3j5@1x3o6x3^5y4e0j5J5i4K6u0W2K9s2c8E0i4@1f1K6i4K6R3H3i4K6R3J5

　　通过对引入的脚本文件的分析，我们发现其中一些引入的文件中包含有经过加密处理的脚本代码，这个很有可能就是引起跳转的原因。

下面我们来分析引入的那个加密脚本bdcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5K6j5h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6U0K9r3W2F1j5g2)9J5c8X3c8S2N6r3q4Q4x3V1k6X3L8%4u0#2L8g2)9J5k6o6t1H3x3e0x3H3y4U0l9@1x3e0R3K6y4o6x3K6i4K6u0W2K9Y4y4Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0S2Q4b7V1c8Q4b7V1c8Q4c8e0g2Q4b7U0W2Q4b7U0k6Q4c8e0N6Q4b7V1u0Q4z5p5k6Q4c8e0S2Q4b7V1k6Q4z5o6N6Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0g2Q4b7f1k6Q4z5o6k6Q4c8e0g2Q4z5o6S2Q4z5o6k6Q4c8e0k6Q4z5f1g2Q4z5e0m8Q4c8e0g2Q4z5o6S2Q4z5o6k6Q4c8e0k6Q4z5f1g2Q4z5e0m8Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0c8Q4b7V1u0Q4b7f1y4Q4c8e0g2Q4b7V1g2Q4z5e0N6Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0k6Q4b7e0m8Q4b7U0S2Q4c8e0g2Q4b7V1k6Q4z5o6y4Q4c8e0c8Q4b7V1u0Q4b7e0y4Q4c8e0N6Q4b7e0m8Q4z5o6q4Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4c8e0W2Q4z5e0W2Q4z5o6c8Q4c8e0g2Q4z5f1u0Q4b7V1f1#2i4@1f1$3i4K6R3&6i4K6R3H3i4@1f1%4i4@1p5@1i4@1u0m8i4@1g2r3i4@1u0o6i4K6W2m8

攻击脚本的核心代码

　　下面我们自己写一个小代码进行本地测试，测试方法比较简单，创建两个文件index.html和new.html。

　　Index.html页面比较简单，就是引入一个a标签，然后点击在新窗口中打开new.Html，代码如下。

测试用Index.html的代码

　　New.Html里面就增加了一个script脚本，用来处理window.opener。

测试用New.html的代码

　　红框中的就是核心代码，也就是导致原页面重置的原因。然后我们分别在Chrome、Firefox、IE8环境进行测试。

　　Chrome

Chrome浏览器下的测试结果

　　截图中就可以看到打开新页面时，前面的index.html已经是百度首页了。

　　Firefox

FireFox浏览器下的测试结果

　　火狐也是一样的。

　　IE8

IE8浏览器下的测试结果

　　IE8也跳转过去了。

　　至此我们就了解了页面是如何将百度的窗口跳转到另一个页面的。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#资讯

收藏・2

免费・0

支持