网络安全研究人员近日发现,盗版流媒体网站正在利用一种高度隐蔽的恶意广告注入技术,通过每三小时轮换一次的算法生成域名(DGA)来规避封锁。该研究者通过对移动端应用层流量的深入分析,成功破解了这一复杂的域名生成机制。
这些恶意脚本通常被嵌入在流媒体播放器的页面中。通过分析发现,攻击者利用了包括“.cfd”在内的多种廉价顶级域名,并采用双重算法生成子域名与父域名。这种结构使得传统的基于黑名单的过滤手段难以奏效,因为域名在被察觉前往往已经消失。
算法破解与行为分析
研究人员指出,该恶意软件不仅通过算法生成域名,还嵌入了复杂的反调试机制,例如使用“disable-devtool”库来阻止浏览器开发者工具的审查。然而,通过在网络层进行流量捕获,研究人员成功从嵌入式脚本中提取了包含加密参数的配置文件。
该算法基于UTC时间,以三小时为一个窗口,结合特定的种子参数与加密哈希运算,自动生成下一阶段的访问地址。研究人员随后编写了Python程序对该算法进行了复现,并与实际观测到的流量数据进行了对比验证。结果显示,该预测模型能够精准匹配所有已知的恶意域名。
除了域名轮换,攻击者还通过URL路径中的“campaign_id”字段跟踪不同分发渠道的流量表现。这种精细的追踪手段揭示了盗版网站背后存在着一套高度组织化的广告分发架构。目前,该研究者已经掌握了该机制的运作规律,能够提前锁定这些恶意节点的活动轨迹,为防御方提供了对抗此类隐蔽威胁的新思路。
