《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 中國(guó)聯(lián)通官網(wǎng)攜帶木馬腳本,可向用戶(hù)推廣色情APP

中國(guó)聯(lián)通官網(wǎng)攜帶木馬腳本,可向用戶(hù)推廣色情APP

2020-11-13
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參

  【快訊】

  近期,火絨接到用戶(hù)反饋,稱(chēng)在登錄中國(guó)聯(lián)通官網(wǎng)辦理業(yè)務(wù)時(shí)被火絨報(bào)毒?;鸾q工程師查看后,發(fā)現(xiàn)中國(guó)聯(lián)通官網(wǎng)攜帶木馬腳本(Trojan/JS.Redirector)。當(dāng)用戶(hù)訪(fǎng)問(wèn)其中某“業(yè)務(wù)辦理記錄”頁(yè)面時(shí),即會(huì)激活木馬腳本,導(dǎo)致用戶(hù)被強(qiáng)行跳轉(zhuǎn)到其他推廣頁(yè)面上,推廣內(nèi)容涉及色情、游戲等。不僅如此,該木馬腳本還被設(shè)定為一天只跳轉(zhuǎn)一次,降低用戶(hù)警惕性,以便長(zhǎng)期存留于該頁(yè)面。

微信圖片_20201113154706.jpg

  值得注意的是,聯(lián)通官網(wǎng)的移動(dòng)端和PC端都存在上述木馬腳本,雖然強(qiáng)行跳轉(zhuǎn)現(xiàn)象目前僅出現(xiàn)在移動(dòng)端,但不排除未來(lái)出現(xiàn)在PC端的可能性?;鸾q用戶(hù)無(wú)需擔(dān)心,火絨安全軟件可攔截該木馬腳本和網(wǎng)頁(yè)。

微信圖片_20201113154658.jpg

  最后,為避免更多用戶(hù)受該木馬腳本影響,我們建議中國(guó)聯(lián)通官方盡快排查上述問(wèn)題。通過(guò)此次事件反映出內(nèi)容審查和安全檢測(cè)對(duì)官方平臺(tái)的重要性,我們也希望能通過(guò)此次報(bào)告,引起相關(guān)平臺(tái)開(kāi)發(fā)人員、管理人員的重視,及時(shí)加強(qiáng)安全審查力度,保障廣大用戶(hù)安全。

  附:【分析報(bào)告】

  一、詳細(xì)分析

  近期根據(jù)用戶(hù)反饋,我們對(duì)聯(lián)通官網(wǎng)中某頁(yè)面代碼進(jìn)行分析,發(fā)現(xiàn)該頁(yè)面中被植入了木馬腳本(Trojan/JS.Redirector),該木馬腳本邏輯執(zhí)行后會(huì)控制用戶(hù)當(dāng)前頁(yè)面跳轉(zhuǎn)到色情、游戲等廣告頁(yè)面。腳本代碼邏輯中控制了每天的訪(fǎng)問(wèn)次數(shù),每天僅會(huì)訪(fǎng)問(wèn)一次。我們初步推測(cè)其控制服務(wù)器在下放廣告鏈接時(shí),也會(huì)對(duì)用戶(hù)每天的訪(fǎng)問(wèn)次數(shù)進(jìn)行限制?,F(xiàn)階段我們發(fā)現(xiàn),在被植入相同代碼的情況下,只有手機(jī)端瀏覽器可以復(fù)現(xiàn)跳轉(zhuǎn)過(guò)程(控制服務(wù)器可能針對(duì)瀏覽器UA進(jìn)行了判斷),但是不排除PC端瀏覽器也會(huì)出現(xiàn)相同跳轉(zhuǎn)行為的可能性。跳轉(zhuǎn)流程,如下圖所示:

微信圖片_20201113154702.jpg

  跳轉(zhuǎn)流程

  跳轉(zhuǎn)到的色情APP廣告,如下圖所示:

微信圖片_20201113154706.jpg

  從聯(lián)通官網(wǎng)頁(yè)面跳轉(zhuǎn)到的色情廣告

  聯(lián)通官網(wǎng)“業(yè)務(wù)辦理記錄”頁(yè)面代碼,如下圖所示:

微信圖片_20201113154709.jpg

  聯(lián)通官網(wǎng)“業(yè)務(wù)辦理記錄”頁(yè)面代碼

  上圖中的tj1.js木馬腳本會(huì)先向控制服務(wù)器地址請(qǐng)求跳轉(zhuǎn)相關(guān)的網(wǎng)址鏈接內(nèi)容,之后控制當(dāng)前頁(yè)面進(jìn)行跳轉(zhuǎn)。tj1.js腳本內(nèi)容,如下圖所示:

微信圖片_20201113154712.jpg

  請(qǐng)求tj1.js腳本內(nèi)容

  腳本內(nèi)容,如下圖所示:

微信圖片_20201113154715.jpg

  木馬腳本內(nèi)容

  鏈接存放頁(yè)面返回結(jié)果,如下圖所示:

微信圖片_20201113154719.png

  代碼執(zhí)行流程

  后續(xù)跳轉(zhuǎn)流程,依次如下圖所示:

微信圖片_20201113154722.jpg

  第一次跳轉(zhuǎn)

微信圖片_20201113154724.jpg

  第二次跳轉(zhuǎn)

微信圖片_20201113154728.jpg

  第三次跳轉(zhuǎn)

微信圖片_20201113154730.jpg

  第四次跳轉(zhuǎn)

微信圖片_20201113154733.jpg

  最終跳轉(zhuǎn)到色情APP廣告頁(yè)面

  經(jīng)過(guò)我們進(jìn)一步溯源,上述木馬腳本早在2016年10月份就已經(jīng)在聯(lián)通官網(wǎng)頁(yè)面中出現(xiàn)。相關(guān)頁(yè)面情況,如下圖所示:

微信圖片_20201113154737.jpg

  歷史頁(yè)面內(nèi)容

  有些用戶(hù)可能會(huì)偶爾遇到,在訪(fǎng)問(wèn)網(wǎng)頁(yè)時(shí)突然被跳轉(zhuǎn)到其他廣告頁(yè)面的情況。我們通過(guò)火絨終端威脅情報(bào)系統(tǒng)發(fā)現(xiàn),引用有相同木馬腳本的站點(diǎn)并非只有聯(lián)通官網(wǎng),所以上述分析可能可以給用戶(hù)遇到類(lèi)似跳轉(zhuǎn)現(xiàn)場(chǎng)提供參考依據(jù)。除前文中提到的色情廣告外,現(xiàn)階段監(jiān)測(cè)到的部分其他被推廣鏈接,如下圖所示:

微信圖片_20201113154658.jpg

  游戲廣告

微信圖片_20201113160329.jpg

  色情APP廣告

  二、 附錄

  樣本hash

 微信圖片_20201113160357.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。