欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点

de64384a174e12dc2018-04-282新闻

本周早些时候,360平安卫士宣布预警文章《新一轮挂马进击来袭,翻开游戏就中招!》。文章称有进击团伙向海内着名下载站点52pk.com页面中拔出CVE-2018-4878破绽的flash对象住手进击。后续监控发明着名IT手艺网站51CTO.com和医护进修交流平台cmechina.net也遭到挂马进击。依据我们对挂马样本特性的剖析,这三起挂马进击都来自统一构造,由臭名远扬的破绽应用套件GreenFlash Sundown Exploit Kit完成。图1展现了挂马进击网络要求。

1524887467120199.jpg 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第1张 1524887467120199.jpg 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第1张

图1  挂马进击网络要求

GreenFlash Sundown Exploit Kit是一个功用周全的破绽应用套件,最早出现在2016年,是Sundown Exploit Kit的一个变种。GreenFlash Sundown Exploit Kit曾被用于下发Locky讹诈病毒、Hermes讹诈病毒,这是GreenFlash Sundown Exploit Kit初次被发明用于在海内流传挖矿木马。

海内运用OpenX告白体系站点成进击对象

我们对此次进击行为住手了剖析,近来多起挂马进击都是针对海内运用OpenX告白治理体系的站点。OpenX是一个基于PHP的网站告白治理与跟踪体系,网站治理者可以也许非常方便地经由过程OpenX展现、治理、统计网站告白。不外现在OpenX已住手保护,存在多个已表露但未修复的破绽(0day破绽),GreenFlash Sundown Exploit Kit恰是应用OpenX告白治理体系的破绽修正告白分发代码,将歹意代码植入网页中。

被植入歹意代码的是OpenX告白治理体系中www\delivery途径下卖力告白分发的PHP模块。浏览器要求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum猎取告白内容,被修正的告白分发模块在前往告白内容同时前往歹意代码。图2和图3离别透露表现一般站点和被挂马站点OpenX分发的告白内容,可以也许看出被挂马站点前往的告白内容之前被拔出了歹意JS剧本。

1524887476966551.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第3张 1524887476966551.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第3张

图2  一般站点OpenX分发的告白内容

1524887484582546.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第5张 1524887484582546.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第5张

图3  被挂马站点OpenX分发的告白内容(红框中为被拔出的歹意代码)

海内多个被挂马站点中挂马页面中被拔出的歹意剧本地点为hxxp://advertmention.com/js/ads.min.js,该歹意剧本下载带有CVE-2018-4878破绽应用代码的flash对象,向用户计算机中植入挖矿木马。

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

站点OpenX破绽被应用,黑客住手挂马进击

以51CTO.com和cmechina.net为例,他们所运用的OpenX体系均存在已公然破绽。(51CTO.com运用的OpenX为2.8.9版,cmechina.net运用的是2.8.7版)。OpenX曾爆出多个高危破绽,破绽范例包孕SQL注入、XSS、CSRF等,个中CVE-2013-3514和CVE-2013-3515是XSS破绽,影响OpenX 2.8.10及以下版本,进击者可以也许向页面中植入恣意剧本;而CVE-2013-4211影响OpenX 2.8.10及以上版本,许可进击者植入PHP后门。图4展现了exploit-db上网络的OpenX过往破绽信息,可见OpenX低版本存在很多高危破绽。

1524887492635692.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第7张 1524887492635692.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第7张

图4  exploit-db上网络的OpenX过往破绽信息

现在GreenFlash Sundown Exploit Kit也已集成了针对运用OpenX告白治理体系站点的进击组件,进击者可应用该对象对这些站点实行了进击。

OpenX千疮百孔,弃用OpenX或是最好挑选

OpenX曾经多年未保护,而且险些每一个版本都存在高危破绽,个中CVE-2013-4211至今未失掉修复。另外,间隔OpenX最初一次提交也有五年了。因为OpenX告白治理体系已经是千疮百孔,网站***只能经由过程对指定页面实行接见掌握来制止已表露破绽的进击,但关于未知破绽只能束手待毙。也许弃用OpenX,挑选更好更平安的告白治理体系才是最好的解决方案。

暂时防护发起

因为OpenX已住手保护,网站治理者可以也许从以下几个方面住手暂时防护:

1.为站点设置装备摆设waf进攻进击;

2.对告白体系以下途径下的文件实行接见掌握:www/admin

3.删除触发CVE-2013-4211破绽的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(下图<?php标签之间高亮的为后门代码)。

1524887502590461.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第9张 1524887502590461.png 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点  新闻 第9张

如若转载,请说明原文地点: http://www.4hou.com/info/news/11262.html

网友评论