在过去的几周里,我们已经谈到了中微子和级利用工具。这一次,我们来看看钻机埃克特别是在各种分销渠道和有效负载上。
像大多数的漏洞工具包一样,RIG依赖于被入侵的网站和恶意广告作为其流量来源,但由于使用较老的漏洞,它是一个不太成熟的ek。例如,它的Flash漏洞(CVE-2015-8651)是打补丁的在十二月下旬2015年,而其他的EKs使用的是较新的Flash开发从2016年5月(cve - 2016 - 4117)。
RIG EK利用闪存20.0.0.228(CVE-2015-8651)
尽管它的引擎不那么强大,但RIG EK仍然通过几个恶意软件活动产生了相当多的流量。从受损站点或恶意广告到RIG EK的重定向机制要么是服务器端(302重定向),要么是客户端(iframe, JavaScript)。
不同的恶意软件活动可能代表了利用工具的不同客户(这可以解释不同的恶意软件有效负载),或者同一个人为了冗余目的而多样化他的操作。下面我们收集的样本的一个惊喜是没有勒索软件,这是一种有效载荷,通常是非常普遍的其他开发工具包。相反,我们看到的是完全包装和混淆的机器人和窃取者。
活动概述:
这里的命名约定是很基本的,因为我们挑选一些字符串或模式,这是每个广告活动的唯一,并用它作为标签从别人区别开来。作为一个说明,有可能是其它的变化,我们在这里没有记载其他门。
302重定向
302重定向路径,正如它的名字表明它,使用服务器端302重定向到RIG EK的着陆页。在大多数情况下,这些被黑客仍然加载其内容和执行重定向的网站。
有效载荷:
- 0289年ab23c01b2ccb9f347035b5fca1bf8a607bc511dfbe52df8881c6482a4723
- Neurevt Bot (Betabot)
- 打开:malwr
- Neurevt信息
gonext
通过使用来自某些tld(如.top)和HTML文件的重定向,这是最活跃的活动之一,这些文件很大程度上被lobo.phtml等命名模式混淆了。最终重定向到RIG依赖于302,从一个相当静态的域名(如artiticplaces.net)。
有效载荷:
- c5184a30a88c234d3031c7661e0383114b54078448d62ae6fb51a4455863d4b5
- Dofoil装载机(烟)
- 打开:malwr
- 吸烟者信息
- 终极动员令:prince-of-persia24.ru
- 下载:有效载荷(IRC机器人,C& C:med-global-fox.com)
randphp
这种分布路径也很受欢迎,使用JavaScript注入杠杆损害站点重定向到使用包含iframe来RIG EK一个随机命名的PHP文件的中介网站。
有效载荷:
载重汽车
这项活动是基于恶意广告使用两级重定向:一个垃圾/假网站,并通过该记录的iframe通过谷歌Analytics帐户和统计信息重定向到RIG EK跟踪器。
有效载荷:
vollumne
这又是基于恶意广告运动,漏斗所有通过vollumne.com交通,域名注册gianafyn410@yahoo.com(俄罗斯)。它使用一个简单的302重定向(服务器端)机制到RIG EK。
有效载荷:
自定义转向器
这种攻击路径似乎使用了黑客攻击或伪造的域名,填充了其他内容(色情,伟哥,其他广告)。它也可以通过恶意广告链接,由于在主页底部注入了iframe标签,所以RIG EK的重定向机制得以实现。
有效载荷:
- bb863da684e0b4a1940f0150a560745b6907c14ff295d93f73e5075adb28f3ea
- 后门-关闭Windows安全中心
- 自动化的分析:malwr
IPredir
这又是一个容易辨认的攻击与自定义重定向(即casinoplayerall.online)和重定向到执行的最后重定向RIG EK一个硬编码的IP地址(即131.72.136.46)。
有效载荷:
- f21a7b90a83c482948206060d6637dffafc97ef319c9d7fa82f07cd9e8a7ec56
- Gootkit
- 打开:(中间载荷)->dropper_dll_service.dll
IPredirvariant
最近,我们开始看到此重定向机制。这些活动都是恶意广告驱动,导致被威胁者所拥有的harcoded IP地址。
有效载荷:
Malshadow
恶意广告与使用域阴影作为重定向到RIG EK基于Web的攻击路径。
有效载荷:
结论
“核EK”的消亡和“垂钓者EK”的神秘失踪,是迄今为止两个更复杂的开发工具,导致了一个新的竞技场,在那里,甚至更小的参与者也会受到更多的曝光。中微子占据了第一个位置,并被用于通过恶意广告和一些受欢迎的大门通过黑客网站的高调攻击。
我们继续看到RIG EK在恶意攻击中使用低质量的流量和经过测试的被黑站点的分布路径,所有这些都与Magnitude EK非常相似,除了后者拥有更好的Flash利用的优势。
必威平台APP的Malwarebytes反开拓客户将继续受到RIG exploit kit的保护。
特别感谢@hasherezade与有效载荷分析的帮助!
国际石油公司:
有效载荷(SHA256转储)
gonext
- artisticplaces [。]净/ lobo.phtml?gonext =真R =
- xyz / lobo.html biomasspelletplant2(。)
- xyz / lobo.html biomasspelletplant3(。)
- xyz / lobo.html biomasspelletplant4(。)
- xyz / lobo.html biomasspelletplant5(。)
- xyz / lobo.html biomasspelletplant6(。)
- biomasspelletplant7 [] / lobo.html
- biomasspelletplant [。] XYZ / lobo.html
- 24 x7apple [] com/sp1.phtml吗?gonext =
- affordableaffairsbyyoli [] com/spm.phtml吗?gonext =
- analyticsonjs [] com/analytics.phtml吗?gonext =
- balkanlight [。] COM / bro.phtml?gonext =
- blockmycalls [] com/sm.phtml吗?gonext =
- buzzinarea [。] COM / immo.phtml?gonext =
- capemadefieldguide.org/dan.phtml?gonext=
- capemadefieldguide.org/ram.phtml ? gonext =
- clothes2017.club / oly.phtml吗?gonext =
- cookingschoolonline.us / bro.phtml吗?gonext =
- dadadeo [] com/jes.phtml吗?gonext =
- easyastrologyoraclecards [] com/bruno.phtml吗?gonext =
- ebldf [] com/bruno.phtml吗?gonext =
- enkore必威客服apppartners [] com/bruno.phtml吗?gonext =
- gstatistics [] com/stat.phtml吗?gonext =
- henrymountjoy [] com/sm.phtml吗?gonext =
- littlebungas [] com/myst.phtml吗?gonext =
- mikeandangelina [] com/myst.phtml吗?gonext =
- molodinoska [] com/bro.phtml吗?gonext =
- monmariemakeupartist [] com/sp1.phtml吗?gonext =
- monsterbungas [] com/myst2.phtml吗?gonext =
- religiousapproaches [] com/ch.phtml吗?gonext =
- religiouslandscape [] com/ch2.phtml吗?gonext =
- siliconvalleydreams [] com/oly.phtml吗?gonext =
- snovels [] com/myst.phtml吗?gonext =
- svdreams [。] COM / oly.phtml?gonext =
- tequilabuch [] com/bro.phtml吗?gonext =
- thebookoneducation [] com/bro.phtml吗?gonext =
- thebookoneducation [] com/laze2.phtml吗?gonext =
- thebookoneducation [] com/laze.phtml吗?gonext =
- thebookoneducation [] com/may.phtml吗?gonext =
- thecasinobank [。] COM / buggy.phtml?gonext =
- wordpresscache.org/bro.phtml ? gonext =
- wordpresscache.org/youshynec.phtml ? gonext =
- youthadvocatecoaching [] com/shi.phtml吗?gonext =
randphp
- 103 rdcomposite [] net/forums/db/g3hbzckj.php吗?id = 8548176
- az.mediancard [。] COM / 8xrvwbkd.php?ID = 8141864
- bitina [。] COM / wqjkt8m2.php?ID = 12866788
- e-bannerstand [] com/nycy2z8t.php吗?id = 11726031
- ekitab [] net/7thwcbvz.php吗?id = 11741674
- fh380968.bget [。] RU /模板/ stets1 / hhwbwny9.php
- filosofia.top / j6fn3dfl.php吗?id = 8294815
- forum.wloclawek [。] PL / dmzxkcbr.php?ID = 14338552
- gaptaquara [] com.br / gkxpdffh.php吗?id = 8231629
- gv-pk [] com/bfnmvvlw.php吗?id = 7912878
- illirico18 []它/ v98vrpz6.php?ID = 8247670
- jobroom.nichost [。] RU / zpgrkljm.php?ID = 10810290
- kromespb [。] RU / _vti_cnf / rpwbr3gt.php?ID = 8519025
- 路易斯安那-印度尼西亚[。] COM / qc8nf2nc.php?ID = 8324784
- multiporn。我们/摩伊/ rzhxpbr8.php吗?id = 1266474
- ocenem1.nichost [。] RU / ndpvy6rk.php?ID = 10810290
- russianbiker.de/4hyrb3fk.php?id=8062768
- shop.universalauto[]俄文/ x6m2byg8.php吗?id = 8295668
- tobiasdesigns [] com/ckjvgphz.php吗?id = 8426416
- ugasac [。] COM / web应用/ sigemave / 3cdnvtkn.php?ID = 8186035
- 水射流切割器[。] COM / lc6jxqkv.php?ID = 15783431
- www.bma [] com.ua / vk63ntzy.php ? id = 2259041
- www.hima避险[。] COM / rmbwj7ld.php?ID = 8118993
- www.nspiredsigns [] com/pfmj94vq.php ? id = 15876656
- www.rospravo[]俄文/ k67cpfnn.php ? id = 8673574
IPredir
- 131.72.136.46/css/style.php
- 185.86.77.27 / css / style.php
- 84.200.84.230 / css / style.php
IPredirvariant
- 91.218.114.24 / html / index . php ?voluumdata
Malshadow
- ads.adwirknetwork.com
评论