“臭名昭著”的網絡入侵手段——掛馬攻擊,正在陪同著網絡技術的發展不停進化出新的攻擊特征���。近日����,騰訊安適反病毒實驗室捕獲了一類通過網頁廣告掛馬方式傳播的惡意程序,木馬通過色情鏈接廣告誘導用戶點擊后�����,在受害者電腦上添加后門���,同時還會運行數字貨幣挖礦的程序從中獲利�。
據騰訊安適反病毒實驗室監測發現,這類通過大型網站以及“激情視頻”等小型網站實施的“掛馬”攻擊存在新的發展態勢�����。結合騰訊電腦管家和哈勃分析系統的威脅感知數據�,騰訊安適反病毒實驗室發現此輪掛馬攻擊在傳播方式、攻擊目標�、盈利模式等方面都有了明顯變革��,對用戶造成的威脅也更加嚴重。
新一輪掛馬攻擊已持續一年 或感染 200 萬電腦
據騰訊安適反病毒實驗室分析發現���,此輪攻擊開始于 2016 年 7 月,已持續約一年�����,涉及到payload15 個���,各類域名 72 個��,感染涉及全國 31 個省份近 10 萬用戶��。其中山東�、河南、江蘇、河北等省排名靠前��。
(受感染省份前十名)
騰訊安適反病毒實驗室安適專家進一步指出��,掛馬網站日拜候量峰值3. 4 萬���,日感染量峰值高達0. 68 萬�。同時由于網吧等使用場景的殺軟安置率較低����,導致實際感染量可能遠遠超過目前監測到的 10 萬臺電腦。哈勃大數據預測,最嚴重情況下���,木馬的感染量可達到 200 萬。
新聞門戶首當其中 “自運營”掛馬方式漸成主流
大規模的電腦感染量與掛馬攻擊多變的攻擊方式關系密切,據騰訊安適反病毒實驗室研究發現,此輪掛馬方式主要有“入侵掛馬”����、“DNS劫持”���、“廣告投毒”�、“自建推廣”四種�。每一種掛馬方式在破壞力、攻擊成本����、攻擊效率等攻擊特征上都表示出明顯的“優勢”����。
其中, 對于“廣告投毒”而言�,雖然需要較高的成本�,���,但“效果良好”且技術成本不高��,因此成為了非法分子的主要攻擊方式之一。據了解,“廣告投毒”系木馬集團通過在大型網站上投放廣告的方式���,借助某些網站對于廣告審查不嚴格的空子,將本身帶毒的網頁代碼向用戶進行展示,并觸發用戶側瀏覽器的漏洞,達到大范圍傳播的目的��?!皬V告投毒”染指的網站類型也多種多樣,其中以新聞門戶類網站首當其沖,除此之外�,導航網站�、游戲動漫等二次元相關網站�、視頻網站也受害嚴重。
(受影響的網站類型分布(已排除無法歸類的小網站))
除此之外, 騰訊安適反病毒實驗室還發現,掛馬攻擊的傳播方式已經衍生出技術門檻較低的“自建推廣”模式���,這種模式受外界環境影響較小,更簡單高效。不依賴其他網站漏洞����,不依賴廣告渠道��,適合大范圍推廣。
該種掛馬方式往往會在當下熱門的關鍵詞做文章,用戶搜索關鍵詞之后會搜索到“無毒”的網站�����,但是當用戶拜候之后���,非法分子就會以“域名遷移提醒”的方式引導用戶拜候真正“含毒”的網站���。同時���,非法分子為了增加感染量�,使用了“明槍冷箭”雙管齊下的方式進行傳播,即使瀏覽器沒有漏洞,也會引導用戶下載偽造的播放器傳播病毒�����。
(“無毒”網站)
(域名遷移提醒到“有毒”網站)
盈利模式多種多樣 游戲黑產坐上“頭把交椅”
在掛馬方式“推陳出新”的同時�����,非法分子為了進一步攫取利益,也制造了多種多樣的盈利模式�。如偽造交友軟件欺騙用戶充值����、推博識彩類軟件天天棋牌游戲中心����、推廣軟件、盜取游戲賬號等�。
(偽造交友軟件欺騙用戶充值)
(通過在受害者電腦上安置各種推廣軟件后��,從軟件推廣商處分成)
其中,通過盜取游戲賬號盈利的模式已經形成了系統的黑產鏈條����。即使掛馬站長不參與洗號��、金幣出售等下游環節,直接通過賣賬號信息就可以獲利不菲�。以某知名網游為例����,洗完的賬號經過等級過濾: 85 級以上價格:2. 8 元一個; 40 級以上價格:1. 8 元一個;沒過濾的價格:一個賬號0.2-0. 5 元�。
(非法分子盜取游戲賬號之后的交易過程)
經騰訊安適反病毒實驗室估算,游戲黑產在黑產盈利中的比例明顯上升�,已經超過軟件推廣�����,這和近些年游戲產業蓬勃發展有密不成分的關系。
