近日�,火絨安全實驗室發(fā)布題為《“捉迷藏”式收割:撕開魯大師為首系列企業(yè)流量劫持黑幕》的專項報告。報告指出��,包括成都奇魯科技有限公司(魯大師運營方)在內(nèi)的多家廠商����,通過云控配置構(gòu)建大規(guī)模推廣產(chǎn)業(yè)鏈,利用隱蔽手段劫持用戶流量����、靜默安裝軟件,并實施了極具針對性的“反偵察”策略��。
報告中公布的與本次威脅情報強相關的軟件
據(jù)火絨報告顯示��,這些廠商利用普遍的上網(wǎng)常態(tài)加大推廣力度����,通過云端下達配置指令,動態(tài)控制軟件的推廣行為����。以魯大師為例��,其推廣行為包括但不限于:利用瀏覽器彈窗推廣“傳奇”類頁游�、在未獲明確許可下彈窗安裝第三方軟件、篡改京東網(wǎng)頁鏈接插入推廣參數(shù)以獲取傭金�、以及彈出帶有渠道標識的百度搜索框等。
報告中公布的多種推廣方式
為了規(guī)避監(jiān)管和技術分析��,相關軟件采用了復雜的“捉迷藏”策略�。報告詳細披露了這些軟件的規(guī)避手段:
1. 地域規(guī)避:軟件會根據(jù)用戶IP所在地投放配置。測試顯示����,針對北京地區(qū)的用戶����,軟件會減少或完全不下發(fā)推廣相關的云控配置,而其他地區(qū)(如太原)則會接收到大量推廣內(nèi)容 �。
2. 人群畫像規(guī)避:推廣模塊會檢測用戶電腦中是否安裝了Fiddler����、IDA����、Visual Studio等技術分析或開發(fā)工具�,一旦發(fā)現(xiàn)����,便停止推廣,以防備技術人員的分析��。同時�,如果檢測到用戶是“魯大師尊享版”或其他關聯(lián)軟件的付費會員�,也會停止騷擾。
3. 歷史記錄檢測:軟件甚至會掃描用戶的瀏覽器歷史記錄��。如果發(fā)現(xiàn)用戶近期訪問過“12315投訴平臺”����、“黑貓投訴”或搜索過“流氓軟件”�、“劫持”等關鍵詞,系統(tǒng)將判定該用戶具有高投訴風險��,從而停止推廣��。
報告中公布的規(guī)避手段表
最引人關注的細節(jié)是,火絨在分析中發(fā)現(xiàn)��,魯大師的推廣模塊中存在一條特殊的檢測邏輯:在劫持瀏覽器的過程中��,系統(tǒng)會檢測用戶是否訪問過360創(chuàng)始人周鴻祎的微博�。若檢測結(jié)果為“已訪問”,則不會進行推廣��。
報告中公布的軟件需規(guī)避的標題或鏈接(其中包含周鴻祎的微博鏈接)
這一細節(jié)引發(fā)了網(wǎng)友熱議�,有評論調(diào)侃稱:“沒想到周鴻祎還怕被人罵,仔細一想原來是怕用戶去微博罵老板”����。天眼查數(shù)據(jù)顯示,魯大師(成都奇魯科技有限公司)與360系公司在歷史上存在復雜的股權和業(yè)務關聯(lián)�。
值得注意的是,就在火絨報告發(fā)布的11月11日當天��,魯大師軟件連續(xù)推送了兩個版本更新�,更新說明僅模糊地提到了“修復已知bug”和“提升用戶體驗”,未提及是否針對報告指出的流量劫持問題進行了整改����。
截止發(fā)稿,魯大師方面尚未就火絨安全報告中的具體指控作出公開回應�。
見習記者 馬斌
校對 朱亞萍
