近年来,国内各大网站逐渐升级为HTTPS加密连接、甚至是全站HTTPS,以防止网站被篡改劫持、用户数据被监听等,在很大程度上提升了网站的安全性。但是一向被认为”安全可靠”的HTTPS安全传输协议也不是万能的,如果在客户端出现木马,也可被轻易劫持!
近期360互联网安全中心监测到一款专门劫持https的木马又开始活跃,在2017年,360曾曝光过该病毒团伙,之后该团伙有所收敛,最近他们重出江湖,又开始大肆传播;数据显示:HTTPS劫匪木马主要用于劫持控制的域名之一的网络访问请求,近日顶峰单日超过190万次。
传播方式主要通过”小电影”网站,以及广告位诱导用户安装,劫持多达48个主流站点,木马更新了导入其签发的证书,新增了15个域名,签发域名达到48个:
导入的证书及证书信息截图
符合域名规则的js文件请求,在js文件的尾部都会被插入用于劫持的js文件: hxxp://ssl.erhaojie.com/ssl/ba.js
Kangle Web后台看到的回应控制配置的劫持信息
劫持客户端新闻弹窗:
由于近年来软件弹mini新闻窗的风靡,软件作者也是新增了对mini窗页面的劫持,多个软件的mini窗均被劫持到带其推广ID的东方头条mini页面(http://mini.eastday.com/?qid=shxg, http://hot.eastday.com/mini065)
除上面介绍的两个恶意功能外,木马还能够:
1、微博账号刷粉
2、劫持京东网页二维码
3、访问购物、导航、搜索等网站时,自动跳转带有作者推广号的网址。
4、对访问的网站插入浮窗广告。
5、 替换掉原来网页中的广告内容。
6、在搜索引擎的结果中插入广告。
由于这个恶意软件本身劫持功能做的不够精细,还会造成用户在访问网络时出现各种故障,比如:腾讯游戏的相关网站被劫持后,验证码输入窗口被跳转到东方头条网站,导致用户无法正常登录WeGame,如下图所示:
HTTPS的普及,很大程度上提升了网站的安全性,但HTTPS并不是万能的,也存在多种劫持和攻击的手段。近期更是有多款木马开始讲攻击目标锁定在https的站点上。现在绝大部分登录认证,支付过程等涉及用户敏感信息的操作均已经全部使用HTTPS的连接解决,针对HTTPS的劫持攻击,对用户的威胁也更大。用户和厂商也应格外注意此类型攻击。
数安时代GDCA在此提醒用户:警惕钓鱼网站,谨慎输入个人信息甚至支付,避免上当受骗。当网站SSL证书过期或者无效,警告会显示在用户浏览器,以提示当前登录网站的安全证书无效,或不受信任的CA机构颁发的SSL证书。用户应该退出浏览或检查网站的真实性。在提供登录认证或帐户等任何个人信息之前,用户应养成认真检查地址栏中证书信息的习惯。
数安时代GDCA在此提醒企业网站:
1、及时通过数安时代GDCA安装SSL证书!SSL证书除了保护用户信息安全、防止用户误进钓鱼假冒网站以外,还能让用户有信心访问网站。相对于HTTP协议的明文传输,HTTPS能最大程度上防止黑客的入侵,建议企业网站使用更高级的OVSSL证书或者更高级的EV SSL证书还可以在网址栏显示企业信息,让用户更信任的同时还可以提升企业品牌形象增加企业的营业额。
2、选择知名品牌的SSL证书。市面上SSL证书繁多,但是很多证书存在通用性不佳,不受浏览器兼容等问题,国际知名品牌Symantec 、Globalsign、GeoTrust就通用于99.99%的浏览器,还可以进行恶意代码扫描,大大的减少了黑客劫持的风险,为网站健康多加了一把锁。
3、选择具有公信力的CA机构!当商户申请SSL证书时,通常会要求商户提交身份资质文件(如企业营业执照等),经过CA机构人工审核后才能颁发。而CA机构的选择至关重要的一点是CA机构的实力与服务品质,市场信誉度和口碑是选择CA机构的必备条件。
我国经过国际Webtrust标准认证的CA机构仅有3家,而数安时代就是其中之一,15年的行业经验使数安时代完善出一整套标准化的服务流程,并拥有应对和解决各种复杂及突发状况的专业服务团队。除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌,多种选择,一次对比,有需要可以联系客服咨询。
