进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点

本周早些时候,360平安卫士宣布预警文章《新一轮挂马进击来袭,翻开游戏就中招!》。文章称有进击团伙向海内着名下载站点52pk.com页面中拔出CVE-2018-4878破绽的flash对象住手进击。后续监控发明着名IT手艺网站51CTO.com和医护进修交流平台cmechina.net也遭到挂马进击。依据我们对挂马样本特性的剖析,这三起挂马进击都来自统一构造,由臭名远扬的破绽应用套件GreenFlash Sundown Exploit Kit完成。图1展现了挂马进击网络要求。

进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点

图1  挂马进击网络要求

GreenFlash Sundown Exploit Kit是一个功用周全的破绽应用套件,最早出现在2016年,是Sundown Exploit Kit的一个变种。GreenFlash Sundown Exploit Kit曾被用于下发Locky讹诈病毒、Hermes讹诈病毒,这是GreenFlash Sundown Exploit Kit初次被发明用于在海内流传挖矿木马。

海内运用OpenX告白体系站点成进击对象

我们对此次进击行为住手了剖析,近来多起挂马进击都是针对海内运用OpenX告白治理体系的站点。OpenX是一个基于PHP的网站告白治理与跟踪体系,网站治理者可以也许非常方便地经由过程OpenX展现、治理、统计网站告白。不外现在OpenX已住手保护,存在多个已表露但未修复的破绽(0day破绽),GreenFlash Sundown Exploit Kit恰是应用OpenX告白治理体系的破绽修正告白分发代码,将歹意代码植入网页中。

被植入歹意代码的是OpenX告白治理体系中www\delivery途径下卖力告白分发的PHP模块。浏览器要求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum猎取告白内容,被修正的告白分发模块在前往告白内容同时前往歹意代码。图2和图3离别透露表现一般站点和被挂马站点OpenX分发的告白内容,可以也许看出被挂马站点前往的告白内容之前被拔出了歹意JS剧本。

进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点

图2  一般站点OpenX分发的告白内容

进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点

图3  被挂马站点OpenX分发的告白内容(红框中为被拔出的歹意代码)

海内多个被挂马站点中挂马页面中被拔出的歹意剧本地点为hxxp://advertmention.com/js/ads.min.js,该歹意剧本下载带有CVE-2018-4878破绽应用代码的flash对象,向用户计算机中植入挖矿木马。

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

站点OpenX破绽被应用,黑客住手挂马进击

以51CTO.com和cmechina.net为例,他们所运用的OpenX体系均存在已公然破绽。(51CTO.com运用的OpenX为2.8.9版,cmechina.net运用的是2.8.7版)。OpenX曾爆出多个高危破绽,破绽范例包孕SQL注入、XSS、CSRF等,个中CVE-2013-3514和CVE-2013-3515是XSS破绽,影响OpenX 2.8.10及以下版本,进击者可以也许向页面中植入恣意剧本;而CVE-2013-4211影响OpenX 2.8.10及以上版本,许可进击者植入PHP后门。图4展现了exploit-db上网络的OpenX过往破绽信息,可见OpenX低版本存在很多高危破绽。

进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点

图4  exploit-db上网络的OpenX过往破绽信息

现在GreenFlash Sundown Exploit Kit也已集成了针对运用OpenX告白治理体系站点的进击组件,进击者可应用该对象对这些站点实行了进击。

OpenX千疮百孔,弃用OpenX或是最好挑选

OpenX曾经多年未保护,而且险些每一个版本都存在高危破绽,个中CVE-2013-4211至今未失掉修复。另外,间隔OpenX最初一次提交也有五年了。因为OpenX告白治理体系已经是千疮百孔,网站***只能经由过程对指定页面实行接见掌握来制止已表露破绽的进击,但关于未知破绽只能束手待毙。也许弃用OpenX,挑选更好更平安的告白治理体系才是最好的解决方案。

暂时防护发起

因为OpenX已住手保护,网站治理者可以也许从以下几个方面住手暂时防护:

1.为站点设置装备摆设waf进攻进击;

2.对告白体系以下途径下的文件实行接见掌握:www/admin

3.删除触发CVE-2013-4211破绽的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(下图<?php标签之间高亮的为后门代码)。

进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点 进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点

如若转载,请说明原文地点: http://www.4hou.com/info/news/11262.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明进击预警!GreenFlash Sundown Exploit Kit进击海内多家大型站点
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址