在過去的幾周里,我們?cè)挠懻撨^Neutrino和Magnitude的exploit kit。現(xiàn)在,我們來(lái)研究下RIG的exploit kit,看看它有什么特別的分發(fā)渠道和payload。
與其他同類的比較
像大多數(shù)exploit kit一樣,RIG會(huì)用被黑的網(wǎng)站和惡意廣告進(jìn)行流量分發(fā)。但是,它也會(huì)借助較老的exploit進(jìn)行輔助攻擊。比如它使用的Flash exploit(CVE-2015-8651)其實(shí)在2015年12月就打了補(bǔ)丁,而其他的一些exploit kit可能會(huì)更傾向于使用2016年4月的發(fā)布的新exploit(CVE-2016-4117)。
盡管攻擊方式不算復(fù)雜,但是RIG仍然能通過一些惡意軟件活動(dòng)獲得較大的流量。而那些利用被黑站點(diǎn)和惡意廣告,重定向到RIG的流量,是通過服務(wù)端的302跳轉(zhuǎn)機(jī)制,或者是通過客戶端的iframe和JS腳本的跳轉(zhuǎn)實(shí)現(xiàn)的。
不同的惡意軟件活動(dòng)中,可能會(huì)有不同類型的代表exploit kit,這也是惡意軟件payload會(huì)出現(xiàn)多元化的成因。奇怪的是,在我們下面收集的RIG樣本里,是沒有勒索贖金軟件(ransomware)的,而這通常是很多常規(guī)exploit kit所具備的。同時(shí),我們?cè)跇颖纠锩姘l(fā)現(xiàn)了打包混淆的信息竊取軟件和僵尸bot軟件。
各類RIG類惡意活動(dòng)概述
這里的命名規(guī)則是很簡(jiǎn)單的,所以我們挑選了一些特殊的字符串和匹配項(xiàng)作為標(biāo)簽。請(qǐng)注意,下面可能存在我們還沒有記錄的其他變種。
302重定向
這里的302重定向,使用了服務(wù)端的302重定向機(jī)制,轉(zhuǎn)到了RIG exploit kit的著陸頁(yè)。大部分的時(shí)候,那些被黑的網(wǎng)站仍然有著正常的網(wǎng)頁(yè)內(nèi)容,但卻會(huì)執(zhí)行跳轉(zhuǎn)動(dòng)作。
Payload:
0289ab23c01b2ccb9f347035b5fca1bf8a607bc511dfbe52df8881c6482a4723
解壓包在這里
樣本代表:Neurevt Bot (Betabot)
Neurevt分析在這里
Gonext
這個(gè)也是最活躍的活動(dòng)之一,由于它使用了.top等特定頂級(jí)域名,而且HTML文件大多數(shù)采用了如lobo.phtml等混淆命名模式,所以我們是很容易分辨出它的。它最終的跳轉(zhuǎn)仍然使用了服務(wù)端302重定向,跳轉(zhuǎn)的來(lái)源為一些相對(duì)穩(wěn)定的域名如artisticplaces.net。
Payload:
c5184a30a88c234d3031c7661e0383114b54078448d62ae6fb51a4455863d4b5
樣本代表:Dofoil (Smoke Loader)
解壓包在這里
Smoke Loader分析在這里
C&C服務(wù)器:prince-of-persia24.ru
下載地址在這里(IRC bot, C&C服務(wù)器:med-global-fox.com)
Randphp
這種手法也是很流行的,它會(huì)將惡意JS代碼注入被黑網(wǎng)站,重定向到一個(gè)中轉(zhuǎn)網(wǎng)站的隨機(jī)命名的php文件,該文件里面包含了將流量重定向到RIG exploit kit的iframe標(biāo)簽。
Payload:
1a3e2f940db24ff23c40adfd45d053036bad7372699c904c1ef0aaae81b24c5d
使用VB packer, crashes打包
Trk
這里則是基于惡意廣告的活動(dòng),它使用了兩級(jí)的重定向:一個(gè)傀儡站點(diǎn)以及一個(gè)通過某Google分析賬戶記錄狀態(tài)的跟蹤站點(diǎn),最后它會(huì)利用iframe將流量重定向到RIG exploit kit。
Payload:
09f7926969f1dd11b828e2a3537c923646389140b2dba64c0b623b58099f3b64
樣本代表:Gootkit
解壓包在這里
Vollumne
這里的活動(dòng)是基于惡意廣告的,所有流量都會(huì)經(jīng)過vollumne.com,這個(gè)域名由gianafyn410@yahoo.com (Russia)注冊(cè),它使用了服務(wù)端302將流量重定向到RIG exploit kit。
Payload:
fe128f8bc1be6a0076dd78133ae69029374e25b2662aaafdeb846af1bc60b617
使用VB packer, crashes打包
客戶端重定向
這種攻擊會(huì)使用充斥了和諧內(nèi)容,以及其他廣告內(nèi)容的被黑站點(diǎn)。它也可能通過惡意廣告鏈接,重定向到RIG exploit kit。而使用這種手法的被黑站點(diǎn)主頁(yè)底部,可能會(huì)被注入相應(yīng)的惡意跳轉(zhuǎn)iframe。
Payload:
bb863da684e0b4a1940f0150a560745b6907c14ff295d93f73e5075adb28f3ea
后門:關(guān)閉Windows安全中心
自動(dòng)化分析在這里
IPredir
這又是一種容易識(shí)別的攻擊,它使用了客戶端的iframe重定向(比如案例:casinoplayerall.online)?;蛘?,它會(huì)將流量重定向到一個(gè)硬編碼的IP地址(比如131.72.136.46),最終再重定向到RIG exploit kit。
Payload:
f21a7b90a83c482948206060d6637dffafc97ef319c9d7fa82f07cd9e8a7ec56
樣本代表:Gootkit
解壓包:中間payload-> dropper_dll_service.dll
IPredirvariant
最近,我們開始更多地見到上圖中這種重定向機(jī)制。這些惡意活動(dòng)由惡意廣告進(jìn)行驅(qū)動(dòng),最后會(huì)將流量重定向到一個(gè)惡意的硬編碼IP地址。
Payload:
a1985dd74238996ab137b21f1856a5787ce07c8cd09744a260aaf1310d4a8944
使用VB packer, crashes打包
Malshadow
這里使用了域名陰影技術(shù),利用惡意廣告將流量重定向到RIG exploit kit。
Payload:
b91dd7571f191224ea8802bb9c9d153857b4f5d48eb72b811620268e8c954a00
樣本代表:Gootkit
解壓包:dropper_dll_service.dll
結(jié)論
我們現(xiàn)在看見的這些RIG exploit kit與Magnitude exploit kit的機(jī)制是極為相似的,雖然后者使用了更新而且更好的Flash exploit。
IOCs
Payloads(SHA256 dump)
樣本案例
artisticplaces[.]net/lobo.phtml?gonext=true&r=
biomasspelletplant2[.]xyz/lobo.html
biomasspelletplant3[.]xyz/lobo.html
biomasspelletplant4[.]xyz/lobo.html
biomasspelletplant5[.]xyz/lobo.html
biomasspelletplant6[.]xyz/lobo.html
biomasspelletplant7[.]top/lobo.html
biomasspelletplant[.]xyz/lobo.html
24x7apple[.]com/sp1.phtml?gonext=
affordableaffairsbyyoli[.]com/spm.phtml?gonext=
analyticsonjs[.]com/analytics.phtml?gonext=
balkanlight[.]com/bro.phtml?gonext=
blockmycalls[.]com/sm.phtml?gonext=
buzzinarea[.]com/immo.phtml?gonext=
capemadefieldguide.org/dan.phtml?gonext=
capemadefieldguide.org/ram.phtml?gonext=
clothes2017.club/oly.phtml?gonext=
cookingschoolonline.us/bro.phtml?gonext=
dadadeo[.]com/jes.phtml?gonext=
easyastrologyoraclecards[.]com/bruno.phtml?gonext=
ebldf[.]com/bruno.phtml?gonext=
enkorepartners[.]com/bruno.phtml?gonext=
gstatistics[.]com/stat.phtml?gonext=
henrymountjoy[.]com/sm.phtml?gonext=
littlebungas[.]com/myst.phtml?gonext=
mikeandangelina[.]com/myst.phtml?gonext=
molodinoska[.]com/bro.phtml?gonext=
monmariemakeupartist[.]com/sp1.phtml?gonext=
monsterbungas[.]com/myst2.phtml?gonext=
religiousapproaches[.]com/ch.phtml?gonext=
religiouslandscape[.]com/ch2.phtml?gonext=
siliconvalleydreams[.]com/oly.phtml?gonext=
snovels[.]com/myst.phtml?gonext=
svdreams[.]com/oly.phtml?gonext=
tequilabuch[.]com/bro.phtml?gonext=
thebookoneducation[.]com/bro.phtml?gonext=
thebookoneducation[.]com/laze2.phtml?gonext=
thebookoneducation[.]com/laze.phtml?gonext=
thebookoneducation[.]com/may.phtml?gonext=
thecasinobank[.]com/buggy.phtml?gonext=
wordpresscache.org/bro.phtml?gonext=
wordpresscache.org/youshynec.phtml?gonext=
youthadvocatecoaching[.]com/shi.phtml?gonext=
randphp
103rdcomposite[.]net/forums/db/g3hbzckj.php?id=8548176
az.mediancard[.]com/8xrvwbkd.php?id=8141864
bitina[.]com/wqjkt8m2.php?id=12866788
e-bannerstand[.]com/nycy2z8t.php?id=11726031
ekitab[.]net/7thwcbvz.php?id=11741674
fh380968.bget[.]ru/templates/stets1/hhwbwny9.php
filosofia.top/j6fn3dfl.php?id=8294815
forum.wloclawek[.]pl/dmzxkcbr.php?id=14338552
gaptaquara[.]com.br/gkxpdffh.php?id=8231629
gv-pk[.]com/bfnmvvlw.php?id=7912878
illirico18[.]it/v98vrpz6.php?id=8247670
jobroom.nichost[.]ru/zpgrkljm.php?id=10810290
kromespb[.]ru/_VTI_CNF/rpwbr3gt.php?id=8519025
louisiana-indonesia[.]com/qc8nf2nc.php?id=8324784
multiporn[.]us/milfs/rzhxpbr8.php?id=1266474
ocenem1.nichost[.]ru/ndpvy6rk.php?id=10810290
russianbiker.de/4hyrb3fk.php?id=8062768
shop.universalauto[.]ru/x6m2byg8.php?id=8295668
tobiasdesigns[.]com/ckjvgphz.php?id=8426416
ugasac[.]com/webapp/sigemave/3cdnvtkn.php?id=8186035
waterjet-cutter[.]com/lc6jxqkv.php?id=15783431
www.bma[.]com.ua/vk63ntzy.php?id=2259041
www.hima-haven[.]com/rmbwj7ld.php?id=8118993
www.nspiredsigns[.]com/pfmj94vq.php?id=15876656
www.rospravo[.]ru/k67cpfnn.php?id=8673574
IPredir
131.72.136.46/css/style.php
185.86.77.27/css/style.php
84.200.84.230/css/style.php
IPredirvariant
91.218.114.24/html/index.php?voluumdata
Malshadow
ads.adwirknetwork.com
*參考來(lái)源:MB,F(xiàn)B小編dawner編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf(FreeBuf.COM)