精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

在過去的幾周里，我們曾撰文討論過Neutrino和Magnitude的exploit kit。現在，我們來研究下RIG的exploit kit，看看它有什么特別的分發渠道和payload。

與其他同類的比較

像大多數exploit kit一樣，RIG會用被黑的網站和惡意廣告進行流量分發。但是，它也會借助較老的exploit進行輔助攻擊。比如它使用的Flash exploit（CVE-2015-8651）其實在2015年12月就打了補丁，而其他的一些exploit kit可能會更傾向于使用2016年4月的發布的新exploit（CVE-2016-4117）。

盡管攻擊方式不算復雜，但是RIG仍然能通過一些惡意軟件活動獲得較大的流量。而那些利用被黑站點和惡意廣告，重定向到RIG的流量，是通過服務端的302跳轉機制，或者是通過客戶端的iframe和JS腳本的跳轉實現的。

不同的惡意軟件活動中，可能會有不同類型的代表exploit kit，這也是惡意軟件payload會出現多元化的成因。奇怪的是，在我們下面收集的RIG樣本里，是沒有勒索贖金軟件（ransomware）的，而這通常是很多常規exploit kit所具備的。同時，我們在樣本里面發現了打包混淆的信息竊取軟件和僵尸bot軟件。

各類RIG類惡意活動概述

這里的命名規則是很簡單的，所以我們挑選了一些特殊的字符串和匹配項作為標簽。請注意，下面可能存在我們還沒有記錄的其他變種。

302重定向

這里的302重定向，使用了服務端的302重定向機制，轉到了RIG exploit kit的著陸頁。大部分的時候，那些被黑的網站仍然有著正常的網頁內容，但卻會執行跳轉動作。

Payload：

0289ab23c01b2ccb9f347035b5fca1bf8a607bc511dfbe52df8881c6482a4723

解壓包在這里

樣本代表：Neurevt Bot (Betabot)

Neurevt分析在這里

Gonext

這個也是最活躍的活動之一，由于它使用了.top等特定頂級域名，而且HTML文件大多數采用了如lobo.phtml等混淆命名模式，所以我們是很容易分辨出它的。它最終的跳轉仍然使用了服務端302重定向，跳轉的來源為一些相對穩定的域名如artisticplaces.net。

Payload：

c5184a30a88c234d3031c7661e0383114b54078448d62ae6fb51a4455863d4b5

樣本代表：Dofoil (Smoke Loader)

解壓包在這里

Smoke Loader分析在這里

C&C服務器：prince-of-persia24.ru

下載地址在這里（IRC bot, C&C服務器：med-global-fox.com）

Randphp

這種手法也是很流行的，它會將惡意JS代碼注入被黑網站，重定向到一個中轉網站的隨機命名的php文件，該文件里面包含了將流量重定向到RIG exploit kit的iframe標簽。

Payload：

1a3e2f940db24ff23c40adfd45d053036bad7372699c904c1ef0aaae81b24c5d

使用VB packer, crashes打包

Trk

這里則是基于惡意廣告的活動，它使用了兩級的重定向：一個傀儡站點以及一個通過某Google分析賬戶記錄狀態的跟蹤站點，最后它會利用iframe將流量重定向到RIG exploit kit。

Payload：

09f7926969f1dd11b828e2a3537c923646389140b2dba64c0b623b58099f3b64

樣本代表：Gootkit

解壓包在這里

Vollumne

這里的活動是基于惡意廣告的，所有流量都會經過vollumne.com，這個域名由[email protected] (Russia)注冊，它使用了服務端302將流量重定向到RIG exploit kit。

Payload：

fe128f8bc1be6a0076dd78133ae69029374e25b2662aaafdeb846af1bc60b617

使用VB packer, crashes打包

客戶端重定向

這種攻擊會使用充斥了和諧內容，以及其他廣告內容的被黑站點。它也可能通過惡意廣告鏈接，重定向到RIG exploit kit。而使用這種手法的被黑站點主頁底部，可能會被注入相應的惡意跳轉iframe。

Payload：

bb863da684e0b4a1940f0150a560745b6907c14ff295d93f73e5075adb28f3ea

后門：關閉Windows安全中心

自動化分析在這里

IPredir

這又是一種容易識別的攻擊，它使用了客戶端的iframe重定向（比如案例：casinoplayerall.online）。或者，它會將流量重定向到一個硬編碼的IP地址（比如131.72.136.46），最終再重定向到RIG exploit kit。

Payload：

f21a7b90a83c482948206060d6637dffafc97ef319c9d7fa82f07cd9e8a7ec56

樣本代表：Gootkit

解壓包：中間payload-> dropper_dll_service.dll

IPredirvariant

最近，我們開始更多地見到上圖中這種重定向機制。這些惡意活動由惡意廣告進行驅動，最后會將流量重定向到一個惡意的硬編碼IP地址。

Payload：

a1985dd74238996ab137b21f1856a5787ce07c8cd09744a260aaf1310d4a8944

使用VB packer, crashes打包

Malshadow

這里使用了域名陰影技術，利用惡意廣告將流量重定向到RIG exploit kit。

Payload：

b91dd7571f191224ea8802bb9c9d153857b4f5d48eb72b811620268e8c954a00

樣本代表：Gootkit

解壓包：dropper_dll_service.dll

結論

我們現在看見的這些RIG exploit kit與Magnitude exploit kit的機制是極為相似的，雖然后者使用了更新而且更好的Flash exploit。

IOCs

Payloads（SHA256 dump）

樣本案例

artisticplaces[.]net/lobo.phtml?gonext=true&r=

biomasspelletplant2[.]xyz/lobo.html

biomasspelletplant3[.]xyz/lobo.html

biomasspelletplant4[.]xyz/lobo.html

biomasspelletplant5[.]xyz/lobo.html

biomasspelletplant6[.]xyz/lobo.html

biomasspelletplant7[.]top/lobo.html

biomasspelletplant[.]xyz/lobo.html

24x7apple[.]com/sp1.phtml?gonext=

affordableaffairsbyyoli[.]com/spm.phtml?gonext=

analyticsonjs[.]com/analytics.phtml?gonext=

balkanlight[.]com/bro.phtml?gonext=

blockmycalls[.]com/sm.phtml?gonext=

buzzinarea[.]com/immo.phtml?gonext=

capemadefieldguide.org/dan.phtml?gonext=

capemadefieldguide.org/ram.phtml?gonext=

clothes2017.club/oly.phtml?gonext=

cookingschoolonline.us/bro.phtml?gonext=

dadadeo[.]com/jes.phtml?gonext=

easyastrologyoraclecards[.]com/bruno.phtml?gonext=

ebldf[.]com/bruno.phtml?gonext=

enkorepartners[.]com/bruno.phtml?gonext=

gstatistics[.]com/stat.phtml?gonext=

henrymountjoy[.]com/sm.phtml?gonext=

littlebungas[.]com/myst.phtml?gonext=

mikeandangelina[.]com/myst.phtml?gonext=

molodinoska[.]com/bro.phtml?gonext=

monmariemakeupartist[.]com/sp1.phtml?gonext=

monsterbungas[.]com/myst2.phtml?gonext=

religiousapproaches[.]com/ch.phtml?gonext=

religiouslandscape[.]com/ch2.phtml?gonext=

siliconvalleydreams[.]com/oly.phtml?gonext=

snovels[.]com/myst.phtml?gonext=

svdreams[.]com/oly.phtml?gonext=

tequilabuch[.]com/bro.phtml?gonext=

thebookoneducation[.]com/bro.phtml?gonext=

thebookoneducation[.]com/laze2.phtml?gonext=

thebookoneducation[.]com/laze.phtml?gonext=

thebookoneducation[.]com/may.phtml?gonext=

thecasinobank[.]com/buggy.phtml?gonext=

wordpresscache.org/bro.phtml?gonext=

wordpresscache.org/youshynec.phtml?gonext=

youthadvocatecoaching[.]com/shi.phtml?gonext=

randphp

103rdcomposite[.]net/forums/db/g3hbzckj.php?id=8548176

az.mediancard[.]com/8xrvwbkd.php?id=8141864

bitina[.]com/wqjkt8m2.php?id=12866788

e-bannerstand[.]com/nycy2z8t.php?id=11726031

ekitab[.]net/7thwcbvz.php?id=11741674

fh380968.bget[.]ru/templates/stets1/hhwbwny9.php

filosofia.top/j6fn3dfl.php?id=8294815

forum.wloclawek[.]pl/dmzxkcbr.php?id=14338552

gaptaquara[.]com.br/gkxpdffh.php?id=8231629

gv-pk[.]com/bfnmvvlw.php?id=7912878

illirico18[.]it/v98vrpz6.php?id=8247670

jobroom.nichost[.]ru/zpgrkljm.php?id=10810290

kromespb[.]ru/_VTI_CNF/rpwbr3gt.php?id=8519025

louisiana-indonesia[.]com/qc8nf2nc.php?id=8324784

multiporn[.]us/milfs/rzhxpbr8.php?id=1266474

ocenem1.nichost[.]ru/ndpvy6rk.php?id=10810290

russianbiker.de/4hyrb3fk.php?id=8062768

shop.universalauto[.]ru/x6m2byg8.php?id=8295668

tobiasdesigns[.]com/ckjvgphz.php?id=8426416

ugasac[.]com/webapp/sigemave/3cdnvtkn.php?id=8186035

waterjet-cutter[.]com/lc6jxqkv.php?id=15783431

www.bma[.]com.ua/vk63ntzy.php?id=2259041

www.hima-haven[.]com/rmbwj7ld.php?id=8118993

www.nspiredsigns[.]com/pfmj94vq.php?id=15876656

www.rospravo[.]ru/k67cpfnn.php?id=8673574

IPredir

131.72.136.46/css/style.php

185.86.77.27/css/style.php

84.200.84.230/css/style.php

IPredirvariant

91.218.114.24/html/index.php?voluumdata

Malshadow

ads.adwirknetwork.com

*參考來源：MB，FB小編dawner編譯，轉載請注明來自FreeBuf（FreeBuf.COM）