freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

攻击预警|GreenFlashSundown Exploit Kit攻击国内多家大型站点
2018-04-28 21:30:10
所属地 海外

本周早些时候,360安全卫士发布预警文章《新一轮挂马攻击来袭,打开游戏就中招!》。文章称有攻击团伙向国内知名下载站点52pk.com页面中插入CVE-2018-4878漏洞的flash对象进行攻击。后续监控发现知名IT技术网站51CTO.com和医护学习交流平台cmechina.net也遭到挂马攻击。根据我们对挂马样本特征的分析,这三起挂马攻击都来自同一组织,由臭名昭著的漏洞利用套件GreenFlashSundown Exploit Kit完成。图1展示了挂马攻击网络请求。

1.jpg

图1 挂马攻击网络请求

GreenFlashSundown Exploit Kit是一个功能全面的漏洞利用套件,最早出现在2016年,是SundownExploit Kit的一个变种。GreenFlash Sundown Exploit Kit曾被用于下发Locky勒索病毒、Hermes勒索病毒,这是GreenFlashSundown Exploit Kit首次被发现用于在国内传播挖矿木马。

国内使用OpenX广告系统站点成攻击对象

我们对此次攻击行动了分析,最近多起挂马攻击都是针对国内使用OpenX广告管理系统的站点。OpenX是一个基于PHP的网站广告管理与跟踪系统,网站管理者可以十分方便地通过OpenX展示、管理、统计网站广告。不过目前OpenX已停止维护,存在多个已披露但未修复的漏洞(0day漏洞),GreenFlashSundown Exploit Kit正是利用OpenX广告管理系统的漏洞修改广告分发代码,将恶意代码植入网页中。

被植入恶意代码的是OpenX广告管理系统中www\delivery路径下负责广告分发的PHP模块。浏览器请求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum获取广告内容,被修改的广告分发模块在返回广告内容同时返回恶意代码。图2和图3分别表示正常站点和被挂马站点OpenX分发的广告内容,可以看出被挂马站点返回的广告内容之前被插入了恶意JS脚本。

2.png

图2 正常站点OpenX分发的广告内容

3.png

图3 被挂马站点OpenX分发的广告内容(红框中为被插入的恶意代码)

国内多个被挂马站点中挂马页面中被插入的恶意脚本地址为hxxp://advertmention.com/js/ads.min.js,该恶意脚本下载带有CVE-2018-4878漏洞利用代码的flash对象,向用户计算机中植入挖矿木马。

站点OpenX漏洞被利用,黑客进行挂马攻击

以51CTO.com和cmechina.net为例,他们所使用的OpenX系统均存在已公开漏洞。(51CTO.com使用的OpenX为2.8.9版,cmechina.net使用的是2.8.7版)。OpenX曾经爆出多个高危漏洞,漏洞类型包括SQL注入、XSS、CSRF等,其中CVE-2013-3514和CVE-2013-3515是XSS漏洞,影响OpenX2.8.10及以下版本,攻击者能够向页面中植入任意脚本;而CVE-2013-4211影响OpenX2.8.10及以上版本,允许攻击者植入PHP后门。图4展示了exploit-db上收集的OpenX过往漏洞信息,可见OpenX低版本存在许多高危漏洞。

4.png

图4exploit-db上收集的OpenX过往漏洞信息

目前GreenFlash SundownExploit Kit也已集成了针对使用OpenX广告管理系统站点的攻击组件,攻击者可利用该工具对这些站点实施了攻击。 

OpenX千疮百孔,弃用OpenX或是最好选择

OpenX已经多年未维护,并且几乎每个版本都存在高危漏洞,其中CVE-2013-4211至今未得到修复。此外,距离OpenX最后一次提交也有五年了。由于OpenX广告管理系统已是千疮百孔,网站管理员只能通过对指定页面执行访问控制来避免已披露漏洞的攻击,但对于未知漏洞只能束手就擒。或许弃用OpenX,选择更好更安全的广告管理系统才是最好的解决方案。

临时防护建议

由于OpenX已停止维护,网站管理者可以从以下几个方面进行临时防护:

1. 为站点配置waf防御攻击;

2. 对广告系统以下路径下的文件执行访问控制:www/admin

3. 删除触发CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(下图<?php标签之间高亮的为后门代码)。

5.png

*本文作者:360安全卫士,转载请注明来自FreeBuf.COM

# GreenFlashSundown Exploit Kit
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者