通信人家园

 找回密码
 注册

只需一步,快速开始

搜索

军衔等级:

  少校

注册时间:
2009-7-10
发表于 2020-11-16 09:13:23 |显示全部楼层
近期,火绒接到用户反馈,称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后,发现中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容涉及色情、游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。

640?wx_fmt=png
                        
值得注意的是,联通官网的移动端和PC端都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端,但不排除未来出现在PC端的可能性。火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。

640?wx_fmt=png


最后,为避免更多用户受该木马脚本影响,我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性,我们也希望能通过此次报告,引起相关平台开发人员、管理人员的重视,及时加强安全审查力度,保障广大用户安全。

附:【分析报告】

一、详细分析近期根据用户反馈,我们对联通官网中某页面代码进行分析,发现该页面中被植入了木马脚本


(Trojan/JS.Redirector),该木马脚本逻辑执行后会控制用户当前页面跳转到色情、游戏等广告页面。脚本代码逻辑中控制了每天的访问次数,每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时,也会对用户每天的访问次数进行限制。现阶段我们发现,在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程(控制服务器可能针对浏览器UA进行了判断),但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:

640?wx_fmt=png

跳转流程

跳转到的色情APP广告,如下图所示:


从联通官网页面跳转到的色情广告

联通官网“业务办理记录”页面代码,如下图所示:

640?wx_fmt=png

联通官网“业务办理记录”页面代码

上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容,之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:

640?wx_fmt=png

请求tj1.js脚本内容

脚本内容,如下图所示:

640?wx_fmt=png

木马脚本内容

链接存放页面返回结果,如下图所示:

640?wx_fmt=png

代码执行流程

后续跳转流程,依次如下图所示:

640?wx_fmt=png

第一次跳转

640?wx_fmt=png

第二次跳转

640?wx_fmt=png

第三次跳转

640?wx_fmt=png

第四次跳转

640?wx_fmt=png

最终跳转到色情APP广告页面

经过我们进一步溯源,上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况,如下图所示:

640?wx_fmt=png

历史页面内容

有些用户可能会偶尔遇到,在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:

640?wx_fmt=png

游戏广告

640?wx_fmt=png

色情APP广告

二、 附录样本hash

640?wx_fmt=png


军衔等级:

  二级通信军士

注册时间:
2019-12-12
发表于 2020-11-16 09:18:33 |显示全部楼层
推广个能联网的app也算良心

军衔等级:

  大校

注册时间:
2009-6-16
发表于 2020-11-16 09:19:13 |显示全部楼层
被黑了?不能是联通自己弄的吧

军衔等级:

  少校

注册时间:
2012-10-22
发表于 2020-11-16 09:25:39 |显示全部楼层
估计网站被黑可能性不大。很有可能是DNS被黑,所有经过该DNS的网页都被加入了这些代码。

点评

hzjppkk  那也是官网没上https的原因,还是自己的锅  详情 回复 发表于 2020-11-16 16:08

军衔等级:

  新兵

注册时间:
2019-11-25
发表于 2020-11-16 09:35:01 |显示全部楼层
同上

FeMale不在线
mee

军衔等级:

  列兵

注册时间:
2020-10-14
发表于 2020-11-16 09:57:11 |显示全部楼层

军衔等级:

  四级通信军士

注册时间:
2019-9-15
发表于 2020-11-16 10:15:53 |显示全部楼层
火绒的东西看看就得了

军衔等级:

  一级通信军士

注册时间:
2020-4-3
发表于 2020-11-16 10:30:21 |显示全部楼层
隐藏的页面太深了,意义有限

军衔等级:

  上校

注册时间:
2013-3-22
发表于 2020-11-16 11:01:50 |显示全部楼层
你这,报警了害了其他用户啊

军衔等级:

  大校

注册时间:
2017-11-19
发表于 2020-11-16 11:29:15 来自手机 |显示全部楼层
火绒开始蹭联通的热度了吧,
做杀毒不行

军衔等级:

  中士

注册时间:
2019-7-30
发表于 2020-11-16 12:13:44 |显示全部楼层
本帖最后由 豌豆黄2015 于 2020-11-16 12:15 编辑

任何浏览器为了加快浏览速度,都会在本机留下一个缓存页面,不要看上面的网址其实大量数据读的是本地缓存,有些木马利用这个机制,感染电脑上的已经存储的所有缓存页面。

所以,应该不是运营商的官网有毒,而是用户自己去了不知道什么地方感染了木马,木马对用户本地的所有缓存文件都进行了感染,

火绒?没听过这个公司,连这个都搞不清还做啥网络安全。

运营商的网站都由工信部年年不定期,我司今年已经被检查了5次了。聘请第三方顶级黑客以各种方式进行攻击测试,在测试中出现问题的运营商会被考核扣分,

用明文网址作为跳转,这个一看就是本地代码,就怕各位看官看不明白,这恐怕真如楼上坛友所言,是某些软件商来蹭流量的

点评

摩柯切叶  不知道火绒???哥,说实话,见识真有点少了,普通用户不知道倒也无所谓了,业内人士,火绒剑应该挺有影响力的  详情 回复 发表于 2020-11-16 19:05
夜猫子呆瓜  这论坛火绒是瑞星几个老员工出来创办的, 在IT圈已经声名远扬了, 还需要蹭热度, 真的是给自己加戏 !  详情 回复 发表于 2020-11-16 15:41
grakestar  所以这种行为联通不直接起诉吗  详情 回复 发表于 2020-11-16 12:20

军衔等级:

  三级军士长

注册时间:
2018-1-9
发表于 2020-11-16 12:20:45 |显示全部楼层
豌豆黄2015 发表于 2020-11-16 12:13
任何浏览器为了加快浏览速度,都会在本机留下一个缓存页面,不要看上面的网址其实大量数据读的是本地缓存, ...

所以这种行为联通不直接起诉吗

点评

豌豆黄2015  这种行为,360的周鸿祎以前不为人知的时候就做过,撕的是腾讯,借此出名上位。 这种人多了去了,如果这个都要起诉,国企也就别做事情了,不理他们就完了  详情 回复 发表于 2020-11-16 12:25

军衔等级:

  中士

注册时间:
2019-7-30
发表于 2020-11-16 12:25:11 |显示全部楼层
grakestar 发表于 2020-11-16 12:20
所以这种行为联通不直接起诉吗

这种行为,360的周鸿祎以前不为人知的时候就做过,撕的是腾讯,借此出名上位。

这种人多了去了,如果这个都要起诉,国企也就别做事情了,不理他们就完了

军衔等级:

  大校

注册时间:
2017-9-14
发表于 2020-11-16 12:46:12 |显示全部楼层
外省电信用户漫游到贵州电信后,天天被强制推送广告到手机,这有人管么?

军衔等级:

  上士

注册时间:
2019-3-31
发表于 2020-11-16 15:38:11 |显示全部楼层
glseda 发表于 2020-11-16 09:25
估计网站被黑可能性不大。很有可能是DNS被黑,所有经过该DNS的网页都被加入了这些代码。

我帮你梳理一下语言, 运营商DNS被劫持, 解析到攻击者设置的一个反向代理服务器, 反代服务器满足特定条件时插入了病毒脚本.

军衔等级:

  上士

注册时间:
2019-3-31
发表于 2020-11-16 15:41:59 |显示全部楼层
本帖最后由 夜猫子呆瓜 于 2020-11-16 15:43 编辑
豌豆黄2015 发表于 2020-11-16 12:13
任何浏览器为了加快浏览速度,都会在本机留下一个缓存页面,不要看上面的网址其实大量数据读的是本地缓存, ...

火绒是瑞星几个老员工出来创办的, 在IT圈已经声名远扬了, 还需要蹭你热度? 笑skr人! 真的是给自己加戏 !

军衔等级:

  四级军士长

注册时间:
2015-1-21
发表于 2020-11-16 16:08:54 |显示全部楼层
glseda 发表于 2020-11-16 09:25
估计网站被黑可能性不大。很有可能是DNS被黑,所有经过该DNS的网页都被加入了这些代码。

那也是官网没上https的原因,还是自己的锅

军衔等级:

  大将

注册时间:
2015-12-28
发表于 2020-11-16 17:21:22 |显示全部楼层
我就是用的火绒,没有遇到任何问题

军衔等级:

  上士

注册时间:
2018-11-5
发表于 2020-11-16 19:05:02 来自手机 |显示全部楼层
豌豆黄2015 发表于 2020-11-16 12:13
任何浏览器为了加快浏览速度,都会在本机留下一个缓存页面,不要看上面的网址其实大量数据读的是本地缓存, ...

不知道火绒???哥,说实话,见识真有点少了,普通用户不知道倒也无所谓了,业内人士,火绒剑应该挺有影响力的

军衔等级:

  少将

注册时间:
2006-2-7
发表于 2020-11-16 19:17:58 来自手机 |显示全部楼层
91?

您需要登录后才可以回帖 登录 | 注册 |

Archiver|手机版|C114 ( 沪ICP备12002292号 )|联系我们 |网站地图  

GMT+8, 2020-11-25 12:53 , Processed in 0.078125 second(s), 20 queries , Gzip On.

Copyright © 1999-2020 C114 All Rights Reserved

Discuz Licensed

回顶部