路由器劫持导致广告肆虐
手机电脑打开网页经常莫名其妙的弹广告、跳转其他网站,也许并不是病毒在搞鬼!日前,360互联网安全中心追踪发现了一起路由器网络劫持的案例,网友反馈称自己日常上网出现了莫名其妙弹出广告或者跳转到其他网站的现象,使用安全软件检查并未发现病毒 。经分析发现,始作俑者竟是网友家里的路由器!反馈用户使用的均为国内某几个品牌的路由器,而这些路由器存在着难以被及时察觉的网络劫持的行为 。路由器作为家庭网关,本应承担保护家庭网络安全的任务,而这种恶意的网络劫持行为严重影响用户的上网安全 。
我们在分析用户反馈过程中发现,此次的劫持情况分布广泛,且各大网站均出现问题,和之前常见的区域性劫持不同,也不是某几家网站存在问题 。
在排除了机房问题,运营商链路问题,浏览器恶意插件,病毒木马等可能性之后,最终目标锁定在用户使用的路由器上 。经过我们的分析测试,发现用户使用的几款路由器中存在数据包篡改劫持问题 。而劫持的目标包括电商网站、网址导航、搜索引擎等网站,目的是赚取推广佣金;还会在其它一些网站中插入无关网页和游戏广告;甚至会直接把用户引向钓鱼或欺诈广告网站,对网民造成直接经济损失 。
劫持过程分析
蚂XX&睿X路由器劫持过程分析:
首先我们提取了用户使用路由器的固件,对其进行了解包:
可以看出,这个路由器系统是在开源的OpenWrt基础上修改而来,我们分析的这两款路由器所使用的固件均来自深圳一家专门做路由器固件定制的公司,从其官网展示的信息看,还存在多款使用同类固件的机器 。
在对比分析中,我们发现路由器固件中,存在网络数据包修改的功能,而修改后的内容和我们在网络抓包中获取到的劫持内容一致:
固件中提取的劫持相关文件和请求302跳转劫持
在原js内容末尾插入hxxp://113.113.120.118:2048/b.js
通过进一步分析,梳理了其劫持的逻辑:
蚂XX&睿X路由器劫持流程
上图中,用于劫持的b.js又引用了多个js,在其中一个hxxp://cdn.cowmalls.com/s
推荐阅读
- 古代被贬为庶人的理由有哪些 明朝的庶人是什么意思
- 信用卡逾期会坐牢吗 信用卡逾期被起诉怎么办
- 让人无法拒绝的请假理由 100种请假不被拒绝的理由
- 熊猫成为国宝的五个原因 大熊猫为什么被视为我国的国宝
- qq账号在线解冻 免费 账号被冻结了怎么办
- 被工信部通报重罚 阿里云未及时上报漏洞被工信部处罚
- 花呗不升级会被关闭吗?有影响吗?
- php网页编程方法 php文件管理系统源码
- 这就是难以全部消灭蚊子的原因 蚊子为什么不能被灭绝
- 如何让别人查不到微信聊天记录 如果防止被别人查微信聊天记录