尽管攻击方式不算复杂，但是RIG仍然能通过一些恶意软件活动获得较大的流量。而那些利用被黑站点和恶意广告，重定向到RIG的流量，是通过服务端的302跳转机制，或者是通过客户端的iframe和 *** 脚本的跳转实现的。

 

不同的恶意软件活动中，可能会有不同类型的代表exploit kit，这也是恶意软件payload会出现多元化的成因。奇怪的是，在我们下面收集的RIG样本里，是没有勒索赎金软件（ransomware）的，而这通常是很多常规exploit kit所具备的。同时，我们在样本里面发现了打包混淆的信息窃取软件和僵尸bot软件。

 

各类RIG类恶意活动概述

2.png

 

这里的命名规则是很简单的，所以我们挑选了一些特殊的字符串和匹配项作为标签。请注意，下面可能存在我们还没有记录的其他变种。

 

302重定向

3.png

 

这里的302重定向，使用了服务端的302重定向机制，转到了RIG exploit kit的着陆页。大部分的时候，那些被黑的网站仍然有着正常的网页内容，但却会执行跳转动作。

 

Payload：

 

0289ab23c01b2ccb9f347035b5fca1bf8a607bc511dfbe52df8881c6482a4723

 

解压包在这里

 

样本代表：Neurevt Bot (Betabot)

 

Neurevt分析在这里

 

Gonext

4.png

 

这个也是最活跃的活动之一，由于它使用了.top等特定顶级域名，而且HTML文件大多数采用了如lobo.phtml等混淆命名模式，所以我们是很容易分辨出它的。它最终的跳转仍然使用了服务端302重定向，跳转的来源为一些相对稳定的域名如artisticplaces.net。

 

Payload：

 

c5184a30a88c234d3031c7661e0383114b54078448d62ae6fb51a4455863d4b5

 

样本代表：Dofoil (Smoke Loader)