RIG exploit kit:惡意活動(dòng)分析報(bào)告

責(zé)任編輯:editor007

2016-08-14 22:09:53

摘自:FreeBuf.COM

而那些利用被黑站點(diǎn)和惡意廣告,重定向到RIG的流量,是通過服務(wù)端的302跳轉(zhuǎn)機(jī)制,或者是通過客戶端的iframe和JS腳本的跳轉(zhuǎn)實(shí)現(xiàn)的。這些惡意活動(dòng)由惡意廣告進(jìn)行驅(qū)動(dòng),最后會(huì)將流量重定向到一個(gè)惡意的硬編碼IP地址。

在過去的幾周里,我們?cè)挠懻撨^NeutrinoMagnitude的exploit kit。現(xiàn)在,我們來(lái)研究下RIG的exploit kit,看看它有什么特別的分發(fā)渠道和payload。

與其他同類的比較

像大多數(shù)exploit kit一樣,RIG會(huì)用被黑的網(wǎng)站和惡意廣告進(jìn)行流量分發(fā)。但是,它也會(huì)借助較老的exploit進(jìn)行輔助攻擊。比如它使用的Flash exploit(CVE-2015-8651)其實(shí)在2015年12月就打了補(bǔ)丁,而其他的一些exploit kit可能會(huì)更傾向于使用2016年4月的發(fā)布的新exploit(CVE-2016-4117)。

盡管攻擊方式不算復(fù)雜,但是RIG仍然能通過一些惡意軟件活動(dòng)獲得較大的流量。而那些利用被黑站點(diǎn)和惡意廣告,重定向到RIG的流量,是通過服務(wù)端的302跳轉(zhuǎn)機(jī)制,或者是通過客戶端的iframe和JS腳本的跳轉(zhuǎn)實(shí)現(xiàn)的。

不同的惡意軟件活動(dòng)中,可能會(huì)有不同類型的代表exploit kit,這也是惡意軟件payload會(huì)出現(xiàn)多元化的成因。奇怪的是,在我們下面收集的RIG樣本里,是沒有勒索贖金軟件(ransomware)的,而這通常是很多常規(guī)exploit kit所具備的。同時(shí),我們?cè)跇颖纠锩姘l(fā)現(xiàn)了打包混淆的信息竊取軟件和僵尸bot軟件。

各類RIG類惡意活動(dòng)概述

這里的命名規(guī)則是很簡(jiǎn)單的,所以我們挑選了一些特殊的字符串和匹配項(xiàng)作為標(biāo)簽。請(qǐng)注意,下面可能存在我們還沒有記錄的其他變種。

302重定向

這里的302重定向,使用了服務(wù)端的302重定向機(jī)制,轉(zhuǎn)到了RIG exploit kit的著陸頁(yè)。大部分的時(shí)候,那些被黑的網(wǎng)站仍然有著正常的網(wǎng)頁(yè)內(nèi)容,但卻會(huì)執(zhí)行跳轉(zhuǎn)動(dòng)作。

Payload:

0289ab23c01b2ccb9f347035b5fca1bf8a607bc511dfbe52df8881c6482a4723

解壓包在這里

樣本代表:Neurevt Bot (Betabot)

Neurevt分析在這里

Gonext

這個(gè)也是最活躍的活動(dòng)之一,由于它使用了.top等特定頂級(jí)域名,而且HTML文件大多數(shù)采用了如lobo.phtml等混淆命名模式,所以我們是很容易分辨出它的。它最終的跳轉(zhuǎn)仍然使用了服務(wù)端302重定向,跳轉(zhuǎn)的來(lái)源為一些相對(duì)穩(wěn)定的域名如artisticplaces.net。

Payload:

c5184a30a88c234d3031c7661e0383114b54078448d62ae6fb51a4455863d4b5

樣本代表:Dofoil (Smoke Loader)

解壓包在這里

Smoke Loader分析在這里

C&C服務(wù)器:prince-of-persia24.ru

下載地址在這里(IRC bot, C&C服務(wù)器:med-global-fox.com)

Randphp

這種手法也是很流行的,它會(huì)將惡意JS代碼注入被黑網(wǎng)站,重定向到一個(gè)中轉(zhuǎn)網(wǎng)站的隨機(jī)命名的php文件,該文件里面包含了將流量重定向到RIG exploit kit的iframe標(biāo)簽。

Payload:

1a3e2f940db24ff23c40adfd45d053036bad7372699c904c1ef0aaae81b24c5d

使用VB packer, crashes打包

Trk

這里則是基于惡意廣告的活動(dòng),它使用了兩級(jí)的重定向:一個(gè)傀儡站點(diǎn)以及一個(gè)通過某Google分析賬戶記錄狀態(tài)的跟蹤站點(diǎn),最后它會(huì)利用iframe將流量重定向到RIG exploit kit。

Payload:

09f7926969f1dd11b828e2a3537c923646389140b2dba64c0b623b58099f3b64

樣本代表:Gootkit

解壓包在這里

Vollumne

這里的活動(dòng)是基于惡意廣告的,所有流量都會(huì)經(jīng)過vollumne.com,這個(gè)域名由gianafyn410@yahoo.com (Russia)注冊(cè),它使用了服務(wù)端302將流量重定向到RIG exploit kit。

Payload:

fe128f8bc1be6a0076dd78133ae69029374e25b2662aaafdeb846af1bc60b617

使用VB packer, crashes打包

客戶端重定向

這種攻擊會(huì)使用充斥了和諧內(nèi)容,以及其他廣告內(nèi)容的被黑站點(diǎn)。它也可能通過惡意廣告鏈接,重定向到RIG exploit kit。而使用這種手法的被黑站點(diǎn)主頁(yè)底部,可能會(huì)被注入相應(yīng)的惡意跳轉(zhuǎn)iframe。

Payload:

bb863da684e0b4a1940f0150a560745b6907c14ff295d93f73e5075adb28f3ea

后門:關(guān)閉Windows安全中心

自動(dòng)化分析在這里

IPredir

這又是一種容易識(shí)別的攻擊,它使用了客戶端的iframe重定向(比如案例:casinoplayerall.online)?;蛘?,它會(huì)將流量重定向到一個(gè)硬編碼的IP地址(比如131.72.136.46),最終再重定向到RIG exploit kit。

Payload:

f21a7b90a83c482948206060d6637dffafc97ef319c9d7fa82f07cd9e8a7ec56

樣本代表:Gootkit

解壓包:中間payload-> dropper_dll_service.dll

IPredirvariant

最近,我們開始更多地見到上圖中這種重定向機(jī)制。這些惡意活動(dòng)由惡意廣告進(jìn)行驅(qū)動(dòng),最后會(huì)將流量重定向到一個(gè)惡意的硬編碼IP地址。

Payload:

a1985dd74238996ab137b21f1856a5787ce07c8cd09744a260aaf1310d4a8944

使用VB packer, crashes打包

Malshadow

這里使用了域名陰影技術(shù),利用惡意廣告將流量重定向到RIG exploit kit。

Payload:

b91dd7571f191224ea8802bb9c9d153857b4f5d48eb72b811620268e8c954a00

樣本代表:Gootkit

解壓包:dropper_dll_service.dll

結(jié)論

我們現(xiàn)在看見的這些RIG exploit kit與Magnitude exploit kit的機(jī)制是極為相似的,雖然后者使用了更新而且更好的Flash exploit。

IOCs

Payloads(SHA256 dump)

樣本案例

artisticplaces[.]net/lobo.phtml?gonext=true&r=

biomasspelletplant2[.]xyz/lobo.html

biomasspelletplant3[.]xyz/lobo.html

biomasspelletplant4[.]xyz/lobo.html

biomasspelletplant5[.]xyz/lobo.html

biomasspelletplant6[.]xyz/lobo.html

biomasspelletplant7[.]top/lobo.html

biomasspelletplant[.]xyz/lobo.html

24x7apple[.]com/sp1.phtml?gonext=

affordableaffairsbyyoli[.]com/spm.phtml?gonext=

analyticsonjs[.]com/analytics.phtml?gonext=

balkanlight[.]com/bro.phtml?gonext=

blockmycalls[.]com/sm.phtml?gonext=

buzzinarea[.]com/immo.phtml?gonext=

capemadefieldguide.org/dan.phtml?gonext=

capemadefieldguide.org/ram.phtml?gonext=

clothes2017.club/oly.phtml?gonext=

cookingschoolonline.us/bro.phtml?gonext=

dadadeo[.]com/jes.phtml?gonext=

easyastrologyoraclecards[.]com/bruno.phtml?gonext=

ebldf[.]com/bruno.phtml?gonext=

enkorepartners[.]com/bruno.phtml?gonext=

gstatistics[.]com/stat.phtml?gonext=

henrymountjoy[.]com/sm.phtml?gonext=

littlebungas[.]com/myst.phtml?gonext=

mikeandangelina[.]com/myst.phtml?gonext=

molodinoska[.]com/bro.phtml?gonext=

monmariemakeupartist[.]com/sp1.phtml?gonext=

monsterbungas[.]com/myst2.phtml?gonext=

religiousapproaches[.]com/ch.phtml?gonext=

religiouslandscape[.]com/ch2.phtml?gonext=

siliconvalleydreams[.]com/oly.phtml?gonext=

snovels[.]com/myst.phtml?gonext=

svdreams[.]com/oly.phtml?gonext=

tequilabuch[.]com/bro.phtml?gonext=

thebookoneducation[.]com/bro.phtml?gonext=

thebookoneducation[.]com/laze2.phtml?gonext=

thebookoneducation[.]com/laze.phtml?gonext=

thebookoneducation[.]com/may.phtml?gonext=

thecasinobank[.]com/buggy.phtml?gonext=

wordpresscache.org/bro.phtml?gonext=

wordpresscache.org/youshynec.phtml?gonext=

youthadvocatecoaching[.]com/shi.phtml?gonext=

randphp

103rdcomposite[.]net/forums/db/g3hbzckj.php?id=8548176

az.mediancard[.]com/8xrvwbkd.php?id=8141864

bitina[.]com/wqjkt8m2.php?id=12866788

e-bannerstand[.]com/nycy2z8t.php?id=11726031

ekitab[.]net/7thwcbvz.php?id=11741674

fh380968.bget[.]ru/templates/stets1/hhwbwny9.php

filosofia.top/j6fn3dfl.php?id=8294815

forum.wloclawek[.]pl/dmzxkcbr.php?id=14338552

gaptaquara[.]com.br/gkxpdffh.php?id=8231629

gv-pk[.]com/bfnmvvlw.php?id=7912878

illirico18[.]it/v98vrpz6.php?id=8247670

jobroom.nichost[.]ru/zpgrkljm.php?id=10810290

kromespb[.]ru/_VTI_CNF/rpwbr3gt.php?id=8519025

louisiana-indonesia[.]com/qc8nf2nc.php?id=8324784

multiporn[.]us/milfs/rzhxpbr8.php?id=1266474

ocenem1.nichost[.]ru/ndpvy6rk.php?id=10810290

russianbiker.de/4hyrb3fk.php?id=8062768

shop.universalauto[.]ru/x6m2byg8.php?id=8295668

tobiasdesigns[.]com/ckjvgphz.php?id=8426416

ugasac[.]com/webapp/sigemave/3cdnvtkn.php?id=8186035

waterjet-cutter[.]com/lc6jxqkv.php?id=15783431

www.bma[.]com.ua/vk63ntzy.php?id=2259041

www.hima-haven[.]com/rmbwj7ld.php?id=8118993

www.nspiredsigns[.]com/pfmj94vq.php?id=15876656

www.rospravo[.]ru/k67cpfnn.php?id=8673574

IPredir

131.72.136.46/css/style.php

185.86.77.27/css/style.php

84.200.84.230/css/style.php

IPredirvariant

91.218.114.24/html/index.php?voluumdata

Malshadow

ads.adwirknetwork.com

*參考來(lái)源:MB,F(xiàn)B小編dawner編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf(FreeBuf.COM)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)