关注我们
QRcode 邮件联系 新浪微博
首页 > web安全 » 正文

攻击预警!GreenFlashSundown Exploit Kit攻击国内多家大型站点

     条点评
后台-系统设置-扩展变量-手机广告位-内容正文顶部

本周早些时候,360安全卫士发布预警文章《新一轮挂马攻击来袭,打开游戏就中招!》。文章称有攻击团伙向国内知名下载站点52pk.com页面中插入CVE-2018-4878漏洞的flash对象进行攻击。后续监控发现知名IT技术网站51CTO.com和医护学习交流平台cmechina.net也遭到挂马攻击。根据我们对挂马样本特征的分析,这三起挂马攻击都来自同一组织,由臭名昭著的漏洞利用套件GreenFlashSundown Exploit Kit完成。图1展示了挂马攻击网络请求。

1.jpg

图1 挂马攻击网络请求

GreenFlashSundown Exploit Kit是一个功能全面的漏洞利用套件,最早出现在2016年,是SundownExploit Kit的一个变种。GreenFlash Sundown Exploit Kit曾被用于下发Locky勒索病毒、Hermes勒索病毒,这是GreenFlashSundown Exploit Kit首次被发现用于在国内传播挖矿木马。

国内使用OpenX广告系统站点成攻击对象

我们对此次攻击行动了分析,最近多起挂马攻击都是针对国内使用OpenX广告管理系统的站点。OpenX是一个基于PHP的网站广告管理与跟踪系统,网站管理者可以十分方便地通过OpenX展示、管理、统计网站广告。不过目前OpenX已停止维护,存在多个已披露但未修复的漏洞(0day漏洞),GreenFlashSundown Exploit Kit正是利用OpenX广告管理系统的漏洞修改广告分发代码,将恶意代码植入网页中。

被植入恶意代码的是OpenX广告管理系统中www\delivery路径下负责广告分发的PHP模块。浏览器请求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum获取广告内容,被修改的广告分发模块在返回广告内容同时返回恶意代码。图2和图3分别表示正常站点和被挂马站点OpenX分发的广告内容,可以看出被挂马站点返回的广告内容之前被插入了恶意JS脚本。

2.png

图2 正常站点OpenX分发的广告内容

3.png

图3 被挂马站点OpenX分发的广告内容(红框中为被插入的恶意代码)

国内多个被挂马站点中挂马页面中被插入的恶意脚本地址为hxxp://advertmention.com/js/ads.min.js,该恶意脚本下载带有CVE-2018-4878漏洞利用代码的flash对象,向用户计算机中植入挖矿木马。

站点OpenX漏洞被利用,黑客进行挂马攻击

以51CTO.com和cmechina.net为例,他们所使用的OpenX系统均存在已公开漏洞。(51CTO.com使用的OpenX为2.8.9版,cmechina.net使用的是2.8.7版)。OpenX曾经爆出多个高危漏洞,漏洞类型包括SQL注入、XSS、CSRF等,其中CVE-2013-3514和CVE-2013-3515是XSS漏洞,影响OpenX2.8.10及以下版本,攻击者能够向页面中植入任意脚本;而CVE-2013-4211影响OpenX2.8.10及以上版本,允许攻击者植入PHP后门。图4展示了exploit-db上收集的OpenX过往漏洞信息,可见OpenX低版本存在许多高危漏洞。

4.png

图4exploit-db上收集的OpenX过往漏洞信息

目前GreenFlash SundownExploit Kit也已集成了针对使用OpenX广告管理系统站点的攻击组件,攻击者可利用该工具对这些站点实施了攻击。 

OpenX千疮百孔,弃用OpenX或是最好选择

OpenX已经多年未维护,并且几乎每个版本都存在高危漏洞,其中CVE-2013-4211至今未得到修复。此外,距离OpenX最后一次提交也有五年了。由于OpenX广告管理系统已是千疮百孔,网站管理员只能通过对指定页面执行访问控制来避免已披露漏洞的攻击,但对于未知漏洞只能束手就擒。或许弃用OpenX,选择更好更安全的广告管理系统才是最好的解决方案。

临时防护建议

由于OpenX已停止维护,网站管理者可以从以下几个方面进行临时防护:

1. 为站点配置waf防御攻击;

2. 对广告系统以下路径下的文件执行访问控制:www/admin

3. 删除触发CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(下图<?php标签之间高亮的为后门代码)。

5.png

*本文作者:360安全卫士,转载请注明来自FreeBuf.COM

后台-系统设置-扩展变量-手机广告位-内容正文底部
本文标签:
挖洞经验 | 看我如何利用一条扫描命令发现价值$2500漏洞
记某次从控件漏洞挖掘到成功利用
  挖洞经验 | 看我如何利用一条扫描命令发现价值$2500漏洞 挖洞经验 | 看我如何利用一条扫描命令发  WebLogic反序列化漏洞(CVE WebLogic反序列化漏洞(CVE  基于JXWAF快速搭建钓鱼网站 基于JXWAF快速搭建钓鱼网站  ESI注入:利用缓存服务形成的SSRF和其它客户端形式渗透 ESI注入:利用缓存服务形成的SSRF和其它客  实现一个简单的Burp验证码本地识别插件 实现一个简单的Burp验证码本地识别插件  ESP技巧:教你如何解包可执行文件 ESP技巧:教你如何解包可执行文件  浅析加密DNS(附子域名爆破工具) 浅析加密DNS(附子域名爆破工具)  Codiad在线IDE框架漏洞挖掘 Codiad在线IDE框架漏洞挖掘

已有条评论,欢迎点评!