最近，愈來愈多的網站開端注冊證書，供給對HTTPS的支撐，掩護本身站點不被挾制。而作為對峙面的流量挾制進擊，也開端將鋒芒瞄準HTTPS，此中最罕見的一種辦法就是捏造證書，做中間人挾制。
不久前，360宣布了《“偷梁換柱”掉包告白：HTTPS劫匪木馬天天掠奪200萬次收集拜訪》的相干預警。克日，360互聯網平安中間又發明一款名為“跑跑火神多功效幫助”的外掛軟件中附帶的挾制木馬，該木馬能夠看做是以前挾制木馬的增強版，其運轉后加載RootKit木馬驅動鼎力大舉挾制導航及電商網站，應用中間人進擊伎倆挾制HTTPS網站，同時還阻攔罕見ARK對象（Anti-Rootkit，檢測查殺內核級木馬的業余對象）運轉，損壞殺軟失常功效。

依據咱們的數據分析，該木馬不僅存在于多種外掛軟件中，同時也包含于收集上傳播的浩繁所謂“體系盤”中。一旦有人應用如許的體系盤裝機，就等因而讓電腦裝機就沾染了流量挾制木馬。
模塊分工示意圖：

作歹行動
1、 停止軟件推行：
法式中硬編碼了從指定地點下載裝置小黑記事本等多款軟件：


2、損壞殺毒軟件：
經由進程檢測文件pdb文件名信息來檢測斷定Ark對象，檢測到后間接停止進程并刪除響應文件，如圖所示檢測了：PCHunter(原XueTr)、WinAST、PowerTool、Kernel Detective等，和一切固執木馬同樣，HTTPS劫匪也把360急救箱列為進擊目的。

刪除殺軟LoadImage回調：


阻攔網盾模塊加載,其阻攔的列表以下：

3、停止流量挾制
木馬會云控挾制導航及電商網站，應用中間人進擊伎倆，支撐挾制https網站

驅動挪用BlackBone代碼將yyqg.dll注入到winlogon.exe進程中履行,

BlackBone相干代碼：

yyqg.dll還會導入其捏造的一些罕見網站的ssl證書，導入證書的域名列表以下：

調換的baidu的SSL證書:


經由進程云控節制必要挾制網站及挾制到目的網站列表：云控地點采用的是應用DNS:114.114.114.114（備用為：googleDNS：8.8.8.8和360DNS：101.226.4.6）剖析dns.5447.me的TXT記載獲得的銜接：
獲得云控銜接地點部門代碼：



應用Nslookup查問dns.5447.me的TXT記載也和該木馬剖析拿到的成果同等：
終極獲得挾制列表地點：http://h.02**.me:97/i/hijack.txt?aa=1503482176
挾制網址列表及跳轉目的銜接以下圖，重要挾制導航及電商網站：

驅動讀取收集數據包：

發送節制敕令：

驅動層過濾攔阻到收集數據包前往給應用層yyqg.dll, 應用層yyqg.dll讀取到數據剖析后依據云控列表婚配數據而后Response一段：
 主動革新并指向新頁面的代碼
（http-equiv望文生義，相當于http的文件頭感化）

被挾制后給前往的成果：主動革新并指向新頁面:http://h.02**.me:97/i

http://h.02**.me:97/i再斷定瀏覽器跳轉到終極帶有其推行ID的導航頁面：如果是搜狗瀏覽器跳轉到：http://www.hao123.com?123
不是搜狗瀏覽器則跳轉到:http://www.hao774.com/?381**,至此就完成為了一個完備挾制進程。

挾制后果動圖(雙擊關上)：

同時為了避免挾制呈現無窮輪回挾制，其還做了一個白名單列表主如果其挾制到的終極跳轉頁面銜接，碰到這些銜接時則不做挾制跳轉。

http://h.02**.me:97/i/white.txt?aa=1503482177

傳播
除游戲外掛外，在許多Ghost體系盤里也發明了該類木馬的行跡，且木馬應用體系盤傳播的數目遠超外掛傳播。應用帶“毒”體系盤裝機，還沒來得及裝置殺毒軟件，流量挾制木馬便主動運轉；別的，外掛本身的困惑性，也極易引誘中招者疏忽殺軟提示而冒險運轉木馬。
正因木馬宿主的特殊性，使得該類流量挾制木馬的沾染率極高。據360近期的查殺數據表現，因為體系自帶木馬，或疏忽平安軟件提示運轉帶毒外掛的受益用戶，曾經高達數十萬之多。

再次提示寬大網民
1.謹嚴應用網上傳播的Ghost鏡像，此中大多都帶有各類歹意法式，倡議用戶抉擇正軌裝置盤裝置操作體系，免得本身的電腦被不法分子節制。
2.不法外掛軟件“十掛九毒”，一定要加以鑒戒，分外是在請求必需加入平安軟件才能應歷時，切不可漫不經心；
3.裝置操作體系后，第一時間裝置殺毒軟件，對能夠存在的木馬停止查殺。上彀時碰到殺毒軟件預警，切不可隨便放行可疑法式。