快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

攻击预警!GreenFlashSundown Exploit Kit攻击国内多家大型站点

本周早些时辰,360安全卫士发布预警文章《新一轮挂马攻击来袭,关上游戏就中招!》。文章称有攻击团伙向国内知名下载站点52pk.com页面中插入CVE-2018-4878漏洞的flash对象进行攻击。后续监控发现知名IT手艺网站51CTO.com以及医护学习交流平台cmechina.net也遭到挂马攻击。根据我们对挂马样本特征的阐发,这三起挂马攻击都来自同一构造,由臭名昭著的漏洞行使套件GreenFlashSundown Exploit Kit实现。图1铺示了挂马攻击收集要求。

1.jpg

图1 挂马攻击收集要求

GreenFlashSundown Exploit Kit是一个功能周全的漏洞行使套件,最早出现在2016年,是SundownExploit Kit的一个变种。GreenFlash Sundown Exploit Kit曾被用于下发Locky勒索病毒、Hermes勒索病毒,这是GreenFlashSundown Exploit Kit首次被发现用于在国内传播挖矿木马

国内使用OpenX广告体系站点成攻击对象

我们对此次攻击步履了阐发,近来多起挂马攻击都是针对国内使用OpenX广告治理体系的站点。OpenX是一个基于PHP的网站广告治理与跟踪体系,网站治理者可以十分方便地通过OpenX铺示、治理、统计网站广告。无非目前OpenX已休止珍爱,存在多个已表露但未修复的漏洞(0day漏洞),GreenFlashSundown Exploit Kit恰是行使OpenX广告治理体系的漏洞修改广告分发代码,将恶意代码植入网页中。

被植入恶意代码的是OpenX广告治理体系中www\delivery路径下负责广告分发的PHP模块。阅读器要求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum获取广告内容,被修改的广告分发模块在返归广告内容同时返归恶意代码。图2以及图3分别表示正常站点以及被挂马站点OpenX分发的广告内容,可以看出被挂马站点返归的广告内容之前被插入了恶意JS脚本。

2.png

图2 正常站点OpenX分发的广告内容

3.png

图3 被挂马站点OpenX分发的广告内容(红框中为被插入的恶意代码)

国内多个被挂马站点中挂马页面中被插入的恶意脚内陆址为hxxp://advertmention.com/js/ads.min.js,该恶意脚本下载带有CVE-2018-4878漏洞行使代码的flash对象,向用户计算机中植入挖矿木马

站点OpenX漏洞被行使,黑客进行挂马攻击

以51CTO.com以及cmechina.net为例,他们所使用的OpenX体系均存在已地下漏洞。(51CTO.com使用的OpenX为2.8.9版,cmechina.net使用的是2.8.7版)。OpenX曾经爆出多个高危漏洞,漏洞类型包括SQL注入、XSS、CSRF等,其中CVE-2013-3514以及CVE-2013-3515是XSS漏洞,影响OpenX2.8.10及下列版本,攻击者能够向页面中植入任意脚本;而CVE-2013-4211影响OpenX2.8.10及以上版本,允许攻击者植入PHP后门。图4铺示了exploit-db上彀络的OpenX过往漏洞信息,可见OpenX低版本存在许多高危漏洞。

4.png

图4exploit-db上彀络的OpenX过往漏洞信息

目前GreenFlash SundownExploit Kit也已集成了针对使用OpenX广告治理体系站点的攻击组件,攻击者可行使该工具对这些站点实施了攻击。 

OpenX千疮百孔,弃用OpenX或是最佳选择

OpenX已经多年未珍爱,数据库黑客,并且几乎每一个版本都存在高危漏洞,其中CVE-2013-4211至今未得到修复。此外,距离OpenX最后一次提交也有五年了。由于OpenX广告治理体系已经是千疮百孔,网站治理员只能通过对指定页面执行走访控制来避免已表露漏洞的攻击,但对于未知漏洞只能束手就擒。或许弃用OpenX,选择更好更安全的广告治理体系才是最佳的解决方案。

暂且防护建议

由于OpenX已休止珍爱,网站治理者可以从下列几个方面进行暂且防护:

1. 为站点设置waf防御攻击;

2. 对广告体系下列路径下的文件执行走访控制:www/admin

3. 删除触发CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(下图<?php标签之间高亮的为后门代码)。

5.png

*

您可能还会对下面的文章感兴趣: