“免流量上网”HTTP注射器或被利用入侵基础设施
时间 : 2018-04-27 编辑 : DNS智能解析专家
“HTTP注入”应用(也称HTTP注射器)是一种移动设备免费互联网访问方案,即使用该应用“用户”可以免流量访问互联网,HTTP注射器如今正在 Telegram 公共频道上广泛传播。
HTTP注入”应用原理
这类应用会利用恶意代码修改网络请求上的 HTTP 标头,从而诱导“强制登录门户”(Captive Portal)允许用户访问互联网。
强制性门户属于移动运营商或私有 WiFi 网络向用户展示的网页,其往往要求用户输入密码或者通过 SIM 卡验证等方式获取互联网连接权限。
“强制登录门户”(Captive Portal):是一个Web登录页面,通常由网络运营商或网关在用户能够正常访问互联网之前拦截用户的请求,并将一个强制登录或认证主页呈现给用户。
通过劫持连接以实现网站“免费化”
HTTP 注入应用的起效根本,在于部分强制性门户网站允许用户以“数据免费”方式接入部分互联网站点。该应用能够帮助用户的设备建立起指向目标免费网站的连接,而后注入 HTTP 标头、劫持“免费连接”并允许用户访问选定的任意服务。
Flashpoint 公司表示,指向数据免费网站的初始连接会启动会话,HTTP 注入应用随后会借此请求 SSH 代理以接入互联网。
HTTP 注入与“入侵基础设施体系”
研究人员们指出,HTTP 注入应用目前在使用葡萄牙语与西班牙语的 Telegram 频道上最为流行。这些应用专门负责利用巴西及哥伦比亚电信运营商提供的强制性门户网站。“欺诈分子”并没有通过内部社区分享此类工具,而是将其发布在公开 Telegram 频道中,该应用目前的用户数量已经超过9万人。目前中国也有小部分人在使用这类应用。
研究人员们表示,“犯罪分子们免费共享其 HTTP 注入文件的潜在理由之一,可能是为了将 HTTP 注入应用作为代理建立起规模更大的入侵基础设施体系,从而掩盖其自身的非法活动。”
此前,黑客们通常利用电信公司自身网络或移动应用中的设计缺陷以获取免费互联网接入能力,但这类缺陷并不能够长期利用,电信企业一般会在短时间内将其修复。
来源:E安全 https://www.easyaq.com/news/266902348.shtml
