导语:本周早些时候,360安全卫士发布预警称有攻击团伙向国内知名下载站点52pk.com页面中插入CVE-2018-4878漏洞的flash对象进行攻击。后续监控发现知名IT技术网站51CTO.com和医护学习交流平台cmechina.net也遭到挂马攻击。这三起挂马攻击都来自
本周早些时候,360安全卫士发布预警文章《新一轮挂马攻击来袭,打开游戏就中招!》。文章称有攻击团伙向国内知名下载站点52pk.com页面中插入CVE-2018-4878漏洞的flash对象进行攻击。后续监控发现知名IT技术网站51CTO.com和医护学习交流平台cmechina.net也遭到挂马攻击。根据我们对挂马样本特征的分析,这三起挂马攻击都来自同一组织,由臭名昭著的漏洞利用套件GreenFlash Sundown Exploit Kit完成。图1展示了挂马攻击网络请求。
图1 挂马攻击网络请求
GreenFlash Sundown Exploit Kit是一个功能全面的漏洞利用套件,最早出现在2016年,是Sundown Exploit Kit的一个变种。GreenFlash Sundown Exploit Kit曾被用于下发Locky勒索病毒、Hermes勒索病毒,这是GreenFlash Sundown Exploit Kit首次被发现用于在国内传播挖矿木马。
国内使用OpenX广告系统站点成攻击对象
我们对此次攻击行动进行了分析,最近多起挂马攻击都是针对国内使用OpenX广告管理系统的站点。OpenX是一个基于PHP的网站广告管理与跟踪系统,网站管理者可以十分方便地通过OpenX展示、管理、统计网站广告。不过目前OpenX已停止维护,存在多个已披露但未修复的漏洞(0day漏洞),GreenFlash Sundown Exploit Kit正是利用OpenX广告管理系统的漏洞修改广告分发代码,将恶意代码植入网页中。
被植入恶意代码的是OpenX广告管理系统中www\delivery路径下负责广告分发的PHP模块。浏览器请求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum获取广告内容,被修改的广告分发模块在返回广告内容同时返回恶意代码。图2和图3分别表示正常站点和被挂马站点OpenX分发的广告内容,可以看出被挂马站点返回的广告内容之前被插入了恶意JS脚本。
图2 正常站点OpenX分发的广告内容
图3 被挂马站点OpenX分发的广告内容(红框中为被插入的恶意代码)
国内多个被挂马站点中挂马页面中被插入的恶意脚本地址为hxxp://advertmention.com/js/ads.min.js,该恶意脚本下载带有CVE-2018-4878漏洞利用代码的flash对象,向用户计算机中植入挖矿木马。
站点OpenX漏洞被利用,黑客进行挂马攻击
以51CTO.com和cmechina.net为例,他们所使用的OpenX系统均存在已公开漏洞。(51CTO.com使用的OpenX为2.8.9版,cmechina.net使用的是2.8.7版)。OpenX曾经爆出多个高危漏洞,漏洞类型包括SQL注入、XSS、CSRF等,其中CVE-2013-3514和CVE-2013-3515是XSS漏洞,影响OpenX 2.8.10及以下版本,攻击者能够向页面中植入任意脚本;而CVE-2013-4211影响OpenX 2.8.10及以上版本,允许攻击者植入PHP后门。图4展示了exploit-db上收集的OpenX过往漏洞信息,可见OpenX低版本存在许多高危漏洞。
图4 exploit-db上收集的OpenX过往漏洞信息
目前GreenFlash Sundown Exploit Kit也已集成了针对使用OpenX广告管理系统站点的攻击组件,攻击者可利用该工具对这些站点实施了攻击。
OpenX千疮百孔,弃用OpenX或是最好选择
OpenX已经多年未维护,并且几乎每个版本都存在高危漏洞,其中CVE-2013-4211至今未得到修复。此外,距离OpenX最后一次提交也有五年了。由于OpenX广告管理系统已是千疮百孔,网站管理员只能通过对指定页面执行访问控制来避免已披露漏洞的攻击,但对于未知漏洞只能束手就擒。或许弃用OpenX,选择更好更安全的广告管理系统才是最好的解决方案。
临时防护建议
由于OpenX已停止维护,网站管理者可以从以下几个方面进行临时防护:
1.为站点配置waf防御攻击;
2.对广告系统以下路径下的文件执行访问控制:www/admin
3.删除触发CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(下图<?php标签之间高亮的为后门代码)。