RIG exploit kit:歹意活动剖析陈述

访客5年前关于黑客接单713
尽管攻击方式不算复杂,但是RIG仍然能通过一些恶意软件活动获得较大的流量。而那些利用被黑站点和恶意广告,重定向到RIG的流量,是通过服务端的302跳转机制,或者是通过客户端的iframe和 *** 脚本的跳转实现的。
 
不同的恶意软件活动中,可能会有不同类型的代表exploit kit,这也是恶意软件payload会出现多元化的成因。奇怪的是,在我们下面收集的RIG样本里,是没有勒索赎金软件(ransomware)的,而这通常是很多常规exploit kit所具备的。同时,我们在样本里面发现了打包混淆的信息窃取软件和僵尸bot软件。
 
各类RIG类恶意活动概述
2.png
 
这里的命名规则是很简单的,所以我们挑选了一些特殊的字符串和匹配项作为标签。请注意,下面可能存在我们还没有记录的其他变种。
 
302重定向
3.png
 
这里的302重定向,使用了服务端的302重定向机制,转到了RIG exploit kit的着陆页。大部分的时候,那些被黑的网站仍然有着正常的网页内容,但却会执行跳转动作。
 
Payload:
 
0289ab23c01b2ccb9f347035b5fca1bf8a607bc511dfbe52df8881c6482a4723
 
解压包在这里
 
样本代表:Neurevt Bot (Betabot)
 
Neurevt分析在这里
 
Gonext
4.png
 
这个也是最活跃的活动之一,由于它使用了.top等特定顶级域名,而且HTML文件大多数采用了如lobo.phtml等混淆命名模式,所以我们是很容易分辨出它的。它最终的跳转仍然使用了服务端302重定向,跳转的来源为一些相对稳定的域名如artisticplaces.net。
 
Payload:
 
c5184a30a88c234d3031c7661e0383114b54078448d62ae6fb51a4455863d4b5
 
样本代表:Dofoil (Smoke Loader)

相关文章

Nmap备忘单:从探究到缝隙使用 Part1

在侦办过程中,信息搜集的初始阶段是扫描。 侦办是什么? 侦办是尽或许多的搜集方针网络的信息。从黑客的视点来看,信息搜集对进犯十分有协助,一般来说能够搜集到以下信息: 电子邮件、端口号、操作体系、运转...

运用Sboxr完成DOM XSS缝隙的主动发掘与使用

这一系列文章将为咱们展现如安在单页或JavaScript富应用上,运用Sboxr完成DOM XSS缝隙的主动发掘与运用。咱们将以https://domgo.at靶场中的10个DOM XSS的小操练为...

MySQL怎么避免SQL注入

 假如您经过网页获取用户输入的 数据 并将其刺进一个MySQL数据库,那么就有可能发生SQL注入安全的 问题 。 本章节将为咱们介绍怎么避免SQL注入,并经过脚原本过滤SQL中注入的字符。  所谓SQ...

运用Subversion完成网站自动更新

Subversion概述     概述     Subversion,简称SVN,是一个开放源代码的版别控制体系,相对于的RCS、CVS,采用了分支办理体系。     网站更新拓扑结构       ...

阿里如此盾Web使用防火墙深度测评

在本年的WitAwards 2019互联网安全年度评选中,阿里如此盾Web运用防火墙(WAF)以其技能和服务赢得了群众和评委的认可,斩获「年度云安全产品及服务」奖项。实际上,WAF已经成为企业看护we...

黑客接单:ddos网络攻击的威力

今年6月,美国的一次网络攻击破坏了伊斯兰革命卫队使用的一个关键数据库。   根据美国高级官员的说法,6月份针对伊朗的秘密网络攻击摧毁了伊朗准军事部门使用的一个关键数据库,该数据库和伊朗策划...