科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全瑞星预警:新型Web劫持技术现身 专攻搜索引擎

瑞星预警:新型Web劫持技术现身 专攻搜索引擎

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近期,瑞星互联网攻防实验室截获了一例利用script脚本进行Web劫持的攻击案例,这种Web劫持在国内尚属首例,用户稍不留神就可能进入黑客制作的钓鱼页面,从而被骗取钱财及隐私信息。因此,广大用户在上网时发现页面异常,马上核对所在页面的网址,以免上当受骗

来源:ZDNet安全频道 2013年8月20日

关键字: 瑞星 互联网 搜索引擎

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 08月20日 综合消息: 近期,瑞星互联网攻防实验室截获了一例利用script脚本进行Web劫持的攻击案例,在该案例中,黑客利用一批新闻页面重置了搜索引擎页面,并将搜索结果替换为自己制作的假页面,以达到恶意推广的目的。瑞星安全专家表示,这种Web劫持在国内尚属首例,同时也非常危险,用户稍不留神就可能进入黑客制作的钓鱼页面,从而被骗取钱财及隐私信息。因此,广大用户在上网时应随时保持警惕,一旦发现页面内容出现异常,应马上核对所在页面的网址,以免上当受骗。

瑞星安全专家指出,该类新型Web劫持是利用script脚本实现的。在已知的案例中,黑客入侵了某地方门户网站,篡改了该网站的新闻页面,并向这些页面植入自己的广告、新闻及恶意代码。一旦用户从搜索结果页面点击进入被篡改过的新闻页面,script脚本就会用假页面置换原搜索结果页面。因为该黑客使用了与原搜索引擎极其近似的域名,并阻止浏览器的后退功能退回原页面,所以一般用户很难察觉自己打开的网站已经被调包了。

瑞星预警:新型Web劫持技术现身 专攻搜索引擎

图1:原搜索结果页面瑞星预警:新型Web劫持技术现身 专攻搜索引擎

图2:被黑客植入恶意代码的新闻页面瑞星预警:新型Web劫持技术现身 专攻搜索引擎

图3:被劫持后自动跳转的假页面

瑞星安全专家表示,这种新型Web劫持非常危险,今后还有可能有更多网站遭遇劫持,其中搜索引擎、金融、电商以及票务等网站可能成为高危攻击目标。它能够悄无声息地替换用户打开的任意页面,在用户以为自己仍在浏览常用网站时,却落入了黑客的圈套,受害的用户将在毫不知情的情况下被套取钱财及个人隐私信息。因此,瑞星安全专家再次提醒广大用户,浏览网站时,页面出现任何不同寻常的变化都要警惕,同时仔细核对页面地址,以免遭受不必要的损失。

附:瑞星互联网攻防实验室《Web劫持搜索页面分析报告》

Web劫持搜索页面分析报告

现象分析

地址:

http://www.baidu.com/s?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8

打开以后页面为正常页面。瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图1:原页面

在这个页面中,点击域名是www.wfnews.com.cn或www.cnncw.cn的网站,会打开一个选项卡去访问目标页面。瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图2:点击的目标页面

但是随后能就发现之前的页面已经变成了一个其他网站的地址:

http://www.baidu.com.xnb391ax506c.com.baiduxu.com/s/?wd=%D0%C2%B6%BC%C7%C5%BB%E9%C9%B4%C9%E3%D3%B0%C4%C4%BC%D2%BA%C3--%CE%AB%B7%BB%D0%C2%CE%C5%CD%F8瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图3:被劫持后自动跳转的假页面

然后,我们重新打开原页面,点击域名不是www.wfnews.com.cn或www.cnncw.cn的网站,发现原页面不会变成其他地址。

原理分析

通过现象的分析,我们推测很有可能是新打开的网站里面存在问题。所以挑选了一个网页对其源码进行分析,主要分析其内部引入的脚本文件内容,分析的URL地址是http://www.wfnews.com.cn/health/h/2013-06/30/contentt_4038562.htm。

通过对引入的脚本文件的分析,我们发现其中一些引入的文件中包含有经过加密处理的脚本代码,这个很有可能就是引起跳转的原因。

瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图4:加密脚本内容

下面我们来分析引入的那个加密脚本http://www.13an.com/china/data/forum-20130604183433.js。下载并经过解密分析分析一下,我们得到了核心代码如下附图5所示:瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图5:攻击脚本的核心代码

下面我们自己写一个小代码进行本地测试,测试方法比较简单,创建两个文件index.html和new.html。

Index.html页面比较简单,就是引入一个a标签,然后点击在新窗口中打开new.Html,代码如下。瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图6:测试用Index.html的代码

New.Html里面就增加了一个script脚本,用来处理window.opener,代码如下。瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图7:测试用New.html的代码

红框中的就是核心代码,也就是导致原页面重置的原因。然后我们分别在Chrome、Firefox、IE8环境进行测试。

Chrome

瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图8:Chrome浏览器下的测试结果

截图中就可以看到打开新页面时,前面的index.html已经是百度首页了。

Firefox

瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图9:FireFox浏览器下的测试结果

火狐也是一样的。

IE8

瑞星预警:新型Web劫持技术现身 专攻搜索引擎

附图10:IE8浏览器下的测试结果

IE8也跳转过去了。

至此我们就了解了页面是如何将百度的窗口跳转到另一个页面的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章