近日����,火絨安全實(shí)驗(yàn)室發(fā)布題為《“捉迷藏”式收割:撕開魯大師為首系列企業(yè)流量劫持黑幕》的專項(xiàng)報(bào)告��。報(bào)告指出��,包括成都奇魯科技有限公司(魯大師運(yùn)營方)在內(nèi)的多家廠商����,通過云控配置構(gòu)建大規(guī)模推廣產(chǎn)業(yè)鏈��,利用隱蔽手段劫持用戶流量�����、靜默安裝軟件�,并實(shí)施了極具針對性的“反偵察”策略。
報(bào)告中公布的與本次威脅情報(bào)強(qiáng)相關(guān)的軟件
據(jù)火絨報(bào)告顯示��,這些廠商利用普遍的上網(wǎng)常態(tài)加大推廣力度��,通過云端下達(dá)配置指令����,動(dòng)態(tài)控制軟件的推廣行為。以魯大師為例�����,其推廣行為包括但不限于:利用瀏覽器彈窗推廣“傳奇”類頁游���、在未獲明確許可下彈窗安裝第三方軟件、篡改京東網(wǎng)頁鏈接插入推廣參數(shù)以獲取傭金�、以及彈出帶有渠道標(biāo)識的百度搜索框等。
報(bào)告中公布的多種推廣方式
為了規(guī)避監(jiān)管和技術(shù)分析���,相關(guān)軟件采用了復(fù)雜的“捉迷藏”策略。報(bào)告詳細(xì)披露了這些軟件的規(guī)避手段:
1. 地域規(guī)避:軟件會根據(jù)用戶IP所在地投放配置��。測試顯示�����,針對北京地區(qū)的用戶,軟件會減少或完全不下發(fā)推廣相關(guān)的云控配置���,而其他地區(qū)(如太原)則會接收到大量推廣內(nèi)容 。
2. 人群畫像規(guī)避:推廣模塊會檢測用戶電腦中是否安裝了Fiddler��、IDA����、Visual Studio等技術(shù)分析或開發(fā)工具����,一旦發(fā)現(xiàn),便停止推廣�,以防備技術(shù)人員的分析。同時(shí)��,如果檢測到用戶是“魯大師尊享版”或其他關(guān)聯(lián)軟件的付費(fèi)會員�����,也會停止騷擾����。
3. 歷史記錄檢測:軟件甚至?xí)呙栌脩舻臑g覽器歷史記錄。如果發(fā)現(xiàn)用戶近期訪問過“12315投訴平臺”、“黑貓投訴”或搜索過“流氓軟件”�、“劫持”等關(guān)鍵詞�����,系統(tǒng)將判定該用戶具有高投訴風(fēng)險(xiǎn)��,從而停止推廣�����。
報(bào)告中公布的規(guī)避手段表
最引人關(guān)注的細(xì)節(jié)是��,火絨在分析中發(fā)現(xiàn)��,魯大師的推廣模塊中存在一條特殊的檢測邏輯:在劫持瀏覽器的過程中�,系統(tǒng)會檢測用戶是否訪問過360創(chuàng)始人周鴻祎的微博。若檢測結(jié)果為“已訪問”��,則不會進(jìn)行推廣�����。
報(bào)告中公布的軟件需規(guī)避的標(biāo)題或鏈接(其中包含周鴻祎的微博鏈接)
這一細(xì)節(jié)引發(fā)了網(wǎng)友熱議�,有評論調(diào)侃稱:“沒想到周鴻祎還怕被人罵,仔細(xì)一想原來是怕用戶去微博罵老板”���。天眼查數(shù)據(jù)顯示��,魯大師(成都奇魯科技有限公司)與360系公司在歷史上存在復(fù)雜的股權(quán)和業(yè)務(wù)關(guān)聯(lián)。
值得注意的是��,就在火絨報(bào)告發(fā)布的11月11日當(dāng)天����,魯大師軟件連續(xù)推送了兩個(gè)版本更新��,更新說明僅模糊地提到了“修復(fù)已知bug”和“提升用戶體驗(yàn)”��,未提及是否針對報(bào)告指出的流量劫持問題進(jìn)行了整改��。
截止發(fā)稿���,魯大師方面尚未就火絨安全報(bào)告中的具體指控作出公開回應(yīng)�����。
見習(xí)記者 馬斌
校對 朱亞萍
