火绒安全软件

标题: 联通官网携带木马脚本 可向用户推广色情APP [打印本页]
作者: huoronganquan    时间: 2020-11-12 18:42
标题: 联通官网携带木马脚本 可向用户推广色情APP
【快讯】
近期,火绒接到用户反馈,称在登录中国联通官网办理业务时被火绒报毒。火绒工程师查看后,发现中国联通官网携带木马脚本(Trojan/JS.Redirector)。当用户访问其中某“业务办理记录”页面时,即会激活木马脚本,导致用户被强行跳转到其他推广页面上,推广内容包含色情及游戏等。不仅如此,该木马脚本还被设定为一天只跳转一次,降低用户警惕性,以便长期存留于该页面。
____色情广告(1).jpg


值得注意的是,联通官网的移动端和PC端都存在上述木马脚本,虽然强行跳转现象目前仅出现在移动端,但不排除未来出现在PC端的可能性。火绒用户无需担心,火绒安全软件可拦截该木马脚本和网页。

Image-5.png



最后,为避免更多用户受该木马脚本影响,我们建议中国联通官方尽快排查上述问题。通过此次事件反映出内容审查和安全检测对官方平台的重要性,我们也希望能通过此次报告,引起相关平台开发人员、管理人员的重视,及时加强安全审查力度,保障广大用户安全。

附:【分析报告】
一、详细分析
近期根据用户反馈,我们对联通官网中某页面代码进行分析,发现该页面中被植入了木马脚本(Trojan/JS.Redirector),该木马脚本逻辑执行后会控制用户当前页面跳转到色情及游戏等广告页面。脚本代码逻辑中控制了每天的访问次数,每天仅会访问一次。我们初步推测其控制服务器在下放广告链接时,也会对用户每天的访问次数进行限制。现阶段我们发现,在被植入相同代码的情况下,只有手机端浏览器可以复现跳转过程(控制服务器可能针对浏览器UA进行了判断),但是不排除PC端浏览器也会出现相同跳转行为的可能性。跳转流程,如下图所示:

Image-6.png


跳转流程




跳转到的色情APP广告,如下图所示:


从联通官网页面跳转到的色情广告




联通官网“业务办理记录”页面代码,如下图所示:

Image-8.png

联通官网“业务办理记录”页面代码



上图中的tj1.js木马脚本会先向控制服务器地址请求跳转相关的网址链接内容,之后控制当前页面进行跳转。tj1.js脚本内容,如下图所示:

Image-9.png

请求tj1.js脚本内容



脚本内容,如下图所示:

Image-10.png

木马脚本内容



链接存放页面返回结果,如下图所示:

Image-11.png

代码执行流程



后续跳转流程,依次如下图所示:

Image-12.png

第一次跳转


Image-13.png

第二次跳转


Image-14.png

第三次跳转


Image-15.png

第四次跳转


抓包打码.png

最终跳转到色情APP广告页面



经过我们进一步溯源,上述木马脚本早在2016年10月份就已经在联通官网页面中出现。相关页面情况,如下图所示:

Image-17.png

历史页面内容



有些用户可能会偶尔遇到,在访问网页时突然被跳转到其他广告页面的情况。我们通过火绒终端威胁情报系统发现,引用有相同木马脚本的站点并非只有联通官网,所以上述分析可能可以给用户遇到类似跳转现场提供参考依据。除前文中提到的色情广告外,现阶段监测到的部分其他被推广链接,如下图所示:

Image-18.png

游戏广告


Image-19.png

色情APP广告



二、附录
样本hash

Image-20.png







作者: huolongguo10    时间: 2020-11-12 18:58
hr加油                  
作者: Dzrjks6606    时间: 2020-11-12 19:02
本帖最后由 Dzrjks6606 于 2020-11-12 19:07 编辑

IMG_20201112_190143.jpg 上周五的时候注意到了那个反馈帖子,当时也是去测了,看来真是被挂马了
作者: MicroWinGo    时间: 2020-11-12 19:04
历史性时刻,截图留念…
作者: Theking    时间: 2020-11-12 19:53
Dzrjks6606 发表于 2020-11-12 19:02
上周五的时候注意到了那个反馈帖子,当时也是去测了,看来真是被挂马了
...

啥页面(好奇*10010)
作者: 虚妄的妄语    时间: 2020-11-12 23:27
6的一批
作者: aircrack    时间: 2020-11-13 08:55
确实厉害
作者: 8Mi丶以勒    时间: 2020-11-13 17:05
官方ghs?
作者: pj911    时间: 2020-11-13 17:57
作者: SoraLing    时间: 2020-11-13 23:44
我在查询业务的时候就弹出来了,然后就报告给火绒 XD
作者: ubnm    时间: 2020-11-14 11:52
真的吗,那谢谢你了,我现在就去办一张联通卡,谢谢
作者: 玖王子    时间: 2020-11-14 21:45
@10010 出来解释下
作者: travels    时间: 2020-11-14 22:44
这应该是数据库漏洞被挂马了
作者: PandoraHearts    时间: 2020-11-15 04:09
支持火绒,
作者: lqy    时间: 2020-11-17 12:01
支持火绒。我们使用联通的宽带,有一段时间,还试过打开任何页面,都先出来一个不堪入目的广告,据说是dns污染。
作者: liangxiaoxiang    时间: 2020-11-19 16:20
@火绒运营专员 请问现在联通官网现在修复好了没?
作者: 人在旅途    时间: 2020-11-22 10:33
火绒厉害了,今后的路一定会越走越顺。
作者: pneocean    时间: 2020-11-23 16:36
支持火绒~~~~~~~~~~~~~~~~~~~
作者: sunvplayer    时间: 2020-11-25 15:55
麻烦小编把这个跳转的网址发给我,我要用手机进行屏蔽!!
作者: 魔神界的人类    时间: 2020-11-27 22:12
火绒强大。联通都不知道反思。ε=(´ο`*)))唉
作者: 火叔很皮    时间: 2020-12-14 23:58
早就听说过火绒的大名,终于用上了。



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4