RIG exploit kit:歹意活动剖析陈述

访客5年前关于黑客接单707
尽管攻击方式不算复杂,但是RIG仍然能通过一些恶意软件活动获得较大的流量。而那些利用被黑站点和恶意广告,重定向到RIG的流量,是通过服务端的302跳转机制,或者是通过客户端的iframe和 *** 脚本的跳转实现的。
 
不同的恶意软件活动中,可能会有不同类型的代表exploit kit,这也是恶意软件payload会出现多元化的成因。奇怪的是,在我们下面收集的RIG样本里,是没有勒索赎金软件(ransomware)的,而这通常是很多常规exploit kit所具备的。同时,我们在样本里面发现了打包混淆的信息窃取软件和僵尸bot软件。
 
各类RIG类恶意活动概述
2.png
 
这里的命名规则是很简单的,所以我们挑选了一些特殊的字符串和匹配项作为标签。请注意,下面可能存在我们还没有记录的其他变种。
 
302重定向
3.png
 
这里的302重定向,使用了服务端的302重定向机制,转到了RIG exploit kit的着陆页。大部分的时候,那些被黑的网站仍然有着正常的网页内容,但却会执行跳转动作。
 
Payload:
 
0289ab23c01b2ccb9f347035b5fca1bf8a607bc511dfbe52df8881c6482a4723
 
解压包在这里
 
样本代表:Neurevt Bot (Betabot)
 
Neurevt分析在这里
 
Gonext
4.png
 
这个也是最活跃的活动之一,由于它使用了.top等特定顶级域名,而且HTML文件大多数采用了如lobo.phtml等混淆命名模式,所以我们是很容易分辨出它的。它最终的跳转仍然使用了服务端302重定向,跳转的来源为一些相对稳定的域名如artisticplaces.net。
 
Payload:
 
c5184a30a88c234d3031c7661e0383114b54078448d62ae6fb51a4455863d4b5
 
样本代表:Dofoil (Smoke Loader)

相关文章

看我怎么免费获取价值

大约两个月前,因为我需求发送一个15G的文件,我的一个朋友借给我了他的WeTransfer账户运用,我留心了一下,他的这种WeTransfer PLUS会员每年的注册费是120欧元。出于挖洞者的猎奇...

Brida:运用Frida进行移动使用浸透测验

Brida是一款 Burp Suite 扩展,作为一座桥梁衔接着Burp Suite以及Frida,以协助用户修正运用程序与后端服务器之间的通讯数据为己任。在剖析移动端运用时遇到运用运用随机密钥式对称...

运用Docker建立Web缝隙测验环境

因为一向在做 Web 缝隙扫描器的开发, 那么就必定少不了 Web 的缝隙测验环境, 其中就包含 bWAPP、DVWA、OWASP WebGoat 等这些国际品牌。 这些缝隙环境一般建立比较繁琐, 并...

减少Rust开发的闭源项目中的调试信息-黑客接单平台

Rust是一门体系编程言语,专心于安全,尤其是并发安全,支撑函数式和指令式以及泛型等编程范式的多范式言语。Rust在语法上和C++类似,可是设计者想要在确保功用的一起供给更好的内存安全。 由于Rust...

探究Flask/Jinja2中的服务端模版注入(一)

假如你还没听说过SSTI(服务端模版注入),或许对其还不够了解,在此之前主张咱们去阅览一下James Kettle写的一篇文章。 作为一名专业的安全从事人员,咱们的作业便是协助企业安排进行危险决议计划...

PHP弱类型安全问题总结

 前段时间做了南京邮电大学网络攻防渠道上面的标题,写了一个writeup之后,还有必要总结一下。因为做的标题都是web类型的,一切的标题都是运用PHP来写的,所以许多标题并没有调查到传统的如SQL注入...