“臭名昭著”的網(wǎng)絡(luò)入侵手段——掛馬攻擊，正在伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展不斷進(jìn)化出新的攻擊特征。近日，騰訊安全反病毒實(shí)驗(yàn)室捕獲了一類(lèi)通過(guò)網(wǎng)頁(yè)廣告掛馬方式傳播的惡意程序，木馬通過(guò)色情鏈接廣告誘導(dǎo)用戶(hù)點(diǎn)擊后，在受害者電腦上添加后門(mén)，同時(shí)還會(huì)運(yùn)行數(shù)字貨幣挖礦的程序從中獲利。

　　據(jù)騰訊安全反病毒實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，這類(lèi)通過(guò)大型網(wǎng)站以及“激情視頻”等小型網(wǎng)站實(shí)施的“掛馬”攻擊存在新的發(fā)展態(tài)勢(shì)。結(jié)合騰訊電腦管家和哈勃分析系統(tǒng)的威脅感知數(shù)據(jù)，騰訊安全反病毒實(shí)驗(yàn)室發(fā)現(xiàn)此輪掛馬攻擊在傳播方式、攻擊目標(biāo)、盈利模式等方面都有了明顯變化，對(duì)用戶(hù)造成的威脅也更加嚴(yán)重。

新一輪掛馬攻擊已持續(xù)一年 或感染200萬(wàn)電腦

　　據(jù)騰訊安全反病毒實(shí)驗(yàn)室分析發(fā)現(xiàn)，此輪攻擊開(kāi)始于2016年7月，已持續(xù)約一年，涉及到payload15個(gè)，各類(lèi)域名72個(gè)，感染涉及全國(guó)31個(gè)省份近10萬(wàn)用戶(hù)。其中山東、河南、江蘇、河北等省排名靠前。

(受感染省份前十名)

　　騰訊安全反病毒實(shí)驗(yàn)室安全專(zhuān)家進(jìn)一步指出，掛馬網(wǎng)站日訪(fǎng)問(wèn)量峰值3.4萬(wàn)，日感染量峰值高達(dá)0.68萬(wàn)。同時(shí)由于網(wǎng)吧等使用場(chǎng)景的殺軟安裝率較低，導(dǎo)致實(shí)際感染量可能遠(yuǎn)遠(yuǎn)超過(guò)目前監(jiān)測(cè)到的10萬(wàn)臺(tái)電腦。哈勃大數(shù)據(jù)預(yù)測(cè)，最嚴(yán)重情況下，木馬的感染量可達(dá)到200萬(wàn)。

　　新聞門(mén)戶(hù)首當(dāng)其中 “自運(yùn)營(yíng)”掛馬方式漸成主流

　　大規(guī)模的電腦感染量與掛馬攻擊多變的攻擊方式關(guān)系密切，據(jù)騰訊安全反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn)，此輪掛馬方式主要有“入侵掛馬”、“DNS劫持”、“廣告投毒”、“自建推廣”四種。每一種掛馬方式在破壞力、攻擊成本、攻擊效率等攻擊特征上都表現(xiàn)出明顯的“優(yōu)勢(shì)”。

　　其中， 對(duì)于“廣告投毒”而言，雖然需要較高的成本，但“效果良好”且技術(shù)成本不高，因此成為了不法分子的主要攻擊方式之一。據(jù)了解，“廣告投毒”系木馬集團(tuán)通過(guò)在大型網(wǎng)站上投放廣告的方式，借助某些網(wǎng)站對(duì)于廣告審查不嚴(yán)格的空子，將自己帶毒的網(wǎng)頁(yè)代碼向用戶(hù)進(jìn)行展示，并觸發(fā)用戶(hù)側(cè)瀏覽器的漏洞，達(dá)到大范圍傳播的目的。“廣告投毒”染指的網(wǎng)站類(lèi)型也多種多樣，其中以新聞門(mén)戶(hù)類(lèi)網(wǎng)站首當(dāng)其沖，除此之外，導(dǎo)航網(wǎng)站、游戲動(dòng)漫等二次元相關(guān)網(wǎng)站、視頻網(wǎng)站也受害嚴(yán)重。

(受影響的網(wǎng)站類(lèi)型分布(已排除無(wú)法歸類(lèi)的小網(wǎng)站))

　　除此之外， 騰訊安全反病毒實(shí)驗(yàn)室還發(fā)現(xiàn)，掛馬攻擊的傳播方式已經(jīng)衍生出技術(shù)門(mén)檻較低的“自建推廣”模式，這種模式受外界環(huán)境影響較小，更簡(jiǎn)單高效。不依賴(lài)其他網(wǎng)站漏洞，不依賴(lài)廣告渠道，適合大范圍推廣。

　　該種掛馬方式往往會(huì)在當(dāng)下熱門(mén)的關(guān)鍵詞做文章，用戶(hù)搜索關(guān)鍵詞之后會(huì)搜索到“無(wú)毒”的網(wǎng)站，但是當(dāng)用戶(hù)訪(fǎng)問(wèn)之后，不法分子就會(huì)以“域名遷移提醒”的方式引導(dǎo)用戶(hù)訪(fǎng)問(wèn)真正“含毒”的網(wǎng)站。同時(shí)，不法分子為了增加感染量，使用了“明槍暗箭”雙管齊下的方式進(jìn)行傳播，即使瀏覽器沒(méi)有漏洞，也會(huì)引導(dǎo)用戶(hù)下載偽造的播放器傳播病毒。

(“無(wú)毒”網(wǎng)站)

(域名遷移提醒到“有毒”網(wǎng)站)

　　盈利模式多種多樣 游戲黑產(chǎn)坐上“頭把交椅”

　　在掛馬方式“推陳出新”的同時(shí)，不法分子為了進(jìn)一步攫取利益，也制造了多種多樣的盈利模式。如偽造交友軟件欺騙用戶(hù)充值、推廣博彩類(lèi)軟件天天棋牌游戲中心、推廣軟件、盜取游戲賬號(hào)等。

(偽造交友軟件欺騙用戶(hù)充值)

(通過(guò)在受害者電腦上安裝各種推廣軟件后，從軟件推廣商處分成)

　　其中，通過(guò)盜取游戲賬號(hào)盈利的模式已經(jīng)形成了系統(tǒng)的黑產(chǎn)鏈條。即使掛馬站長(zhǎng)不參與洗號(hào)、金幣出售等下游環(huán)節(jié)，直接通過(guò)賣(mài)賬號(hào)信息就可以獲利不菲。以某知名網(wǎng)游為例，洗完的賬號(hào)經(jīng)過(guò)等級(jí)過(guò)濾：85級(jí)以上價(jià)格：2.8元一個(gè);40級(jí)以上價(jià)格：1.8元一個(gè);沒(méi)過(guò)濾的價(jià)格：一個(gè)賬號(hào)0.2-0.5元。

(不法分子盜取游戲賬號(hào)之后的交易過(guò)程)

　　經(jīng)騰訊安全反病毒實(shí)驗(yàn)室估算，游戲黑產(chǎn)在黑產(chǎn)盈利中的比例明顯上升，已經(jīng)超過(guò)軟件推廣，這和近些年游戲產(chǎn)業(yè)蓬勃發(fā)展有密不可分的關(guān)系。

　　面對(duì)猖獗的掛馬攻擊，目前騰訊安全反病毒實(shí)驗(yàn)室已協(xié)同騰訊電腦管家和哈勃分析系統(tǒng)建立多維監(jiān)控系統(tǒng)，密切關(guān)注此輪掛馬攻擊的最新態(tài)勢(shì)。建議廣大用戶(hù)遇到不能確定風(fēng)險(xiǎn)的文件可以上傳到哈勃分析系統(tǒng)進(jìn)行分析，同時(shí)保持騰訊電腦管家開(kāi)啟，實(shí)時(shí)保護(hù)電腦安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀(guān)點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。