目前，越來越多的網站開始註冊證書，提供對HTTPS的支援，保護自己站點不被劫持。而作為對立面的流量劫持攻擊，也開始將矛頭對準HTTPS，其中最常見的一種方法便是偽造證書，做中間人劫持。

不久前，360釋出了《“移花接木”偷換廣告：HTTPS劫匪木馬每天打劫200萬次網路訪問》的相關預警。近日，360網際網路安全中心又發現一款名為“跑跑火神多功能輔助”的外掛軟體中附帶的劫持木馬，該木馬可以看作是之前劫持木馬的加強版，其執行後加載RootKit木馬驅動大肆劫持導航及電商網站，利用中間人攻擊手法劫持HTTPS網站，同時還阻止常見ARK工具（Anti-Rootkit，檢測查殺核心級木馬的專業工具）執行，破壞殺軟正常功能。

圖1

根據我們的資料分析，該木馬不僅存在於多種外掛軟體中，同時也包含於網路上流傳的眾多所謂“系統盤”中。一旦有人使用這樣的系統盤裝機，就等於是讓電腦裝機就感染了流量劫持木馬。

模組分工示意圖：

圖2

作惡行為：

1、進行軟體推廣：

程式中硬編碼了從指定地址下載安裝小黑記事本等多款軟體：

圖3

圖4

2、破壞防毒軟體：

通過檢測檔案pdb檔名資訊來檢測判斷Ark工具，檢測到後直接結束程序並刪除相應檔案，如圖所示檢測了：PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等，和所有頑固木馬一樣，HTTPS劫匪也把360急救箱列為攻擊目標。

圖5

刪除殺軟LoadImage回撥：

圖6

圖7

阻止網盾模組載入,其阻止的列表如下：

圖8

3、進行流量劫持

木馬會雲控劫持導航及電商網站，利用中間人攻擊手法，支援劫持https網站

圖9

中間人攻擊示意圖

驅動呼叫BlackBone程式碼將yyqg.dll注入到winlogon.exe程序中執行,

圖10

BlackBone相關程式碼：

圖11

yyqg.dll還會匯入其偽造的一些常見網站的ssl證書，匯入證書的域名列表如下：

圖12

替換的百度的SSL證書:

圖13

圖14

通過雲控控制需要劫持網站及劫持到目標網站列表：雲控地址採用的是使用DNS:114.114.114.114（備用為：谷歌DNS：8.8.8.8以及360DNS：101.226.4.6）解析dns.5447.me的TXT記錄得到的連線：

獲取雲控連線地址部分程式碼：

圖15

圖16

圖17

使用Nslookup查詢dns.5447.me的TXT記錄也和該木馬解析拿到的結果一致：

圖18

最終得到劫持列表地址：http://h.02**.me:97/i/hijack.txt?aa=1503482176

劫持網址列表及跳轉目標連線如下圖，主要劫持導航及電商網站：

圖19

驅動讀取網路資料包：

圖20

傳送控制命令：

圖21

驅動層過濾攔截到網路資料包返回給應用層yyqg.dll, 應用層yyqg.dll讀取到資料解析後根據雲控列表匹配資料然後Response一段：

<metahttp-equiv="refresh" content="0; url = %s"/> 自動重新整理並指向新頁面的程式碼

（http-equiv顧名思義，相當於http的檔案頭作用）

圖22

被劫持後給返回的結果：自動重新整理並指向新頁面:http://h.02**.me:97/i

圖23

http://h.02**.me:97/i再判斷瀏覽器跳轉到最終帶有其推廣ID的導航頁面：如果是搜狗瀏覽器跳轉到：http://www.hao123.com?123

不是搜狗瀏覽器則跳轉到:http://www.hao774.com/?381**,至此就完成了一個完整劫持過程。

圖24

圖25

劫持效果動圖(雙擊開啟)：

圖26

同時為了防止劫持出現無限迴圈劫持，其還做了一個白名單列表主要是其劫持到的最終跳轉頁面連線，遇到這些連線時則不做劫持跳轉。

http://h.02**.me:97/i/white.txt?aa=1503482177

圖27

圖28

傳播：

除了遊戲外掛外，在很多Ghost系統盤裡也發現了該類木馬的行蹤，且木馬利用系統盤傳播的數量遠超外掛傳播。使用帶“毒”系統盤裝機，還沒來得及安裝防毒軟體，流量劫持木馬便自動執行；另外，外掛本身的迷惑性，也極易誘導中招者忽視殺軟提示而冒險執行木馬。

正因木馬宿主的特殊性，使得該類流量劫持木馬的感染率極高。據360近期的查殺資料顯示，由於系統自帶木馬，或忽略安全軟體提示執行帶毒外掛的受害使用者，已經高達數十萬之多。

圖29

圖30

再次提醒廣大網民：

1.謹慎使用網上流傳的Ghost映象，其中大多都帶有各種惡意程式，建議使用者選擇正規安裝盤安裝作業系統，以免自己的電腦被不法分子控制。 2.非法外掛軟體“十掛九毒”，一定要加以警惕，特別是在要求必須退出安全軟體才能使用時，切不可掉以輕心； 3.安裝作業系統後，第一時間安裝防毒軟體，對可能存在的木馬進行查殺。上網時遇到防毒軟體預警，切不可隨意放行可疑程式。