攻击预警|GreenFlashSundown Exploit Kit攻击国内多家大型站点

	攻击预警|GreenFlashSundown Exploit Kit攻击国内多家大型站点。本周早些时候，360安全卫士 发布预警文章《新一轮挂马攻击来袭，打开游戏就中招!》。文章称有攻击团伙向国内知名下载站点的页 面中插入CVE-2018-4878漏洞的flash对象进行攻击。后续监控发现知名IT技术网站和医护学习交流平台 也遭到挂马攻击。根据我们对挂马样本特征的分析，这三起挂马攻击都来自同一组织，由臭名昭著的漏 洞利用套件GreenFlashSundown Exploit Kit完成。图1展示了挂马攻击网络请求。 图1 挂马攻击网络请求 GreenFlashSundown Exploit Kit是一个功能全面的漏洞利用套件，最早出现在2016年，是SundownExploit Kit 的一个变种。GreenFlash Sundown Exploit Kit曾被用于下发Locky勒索病毒、Hermes勒索病毒， 这是GreenFlashSundown Exploit Kit首次被发现用于在国内传播挖矿木马。 国内使用OpenX广告系统站点成攻击对象 我们对此次攻击行动了分析，最近多起挂马攻击都是针对国内使用OpenX广告管理系统的站点。 OpenX是一个基于PHP的网站广告管理与跟踪系统，网站管理者可以十分方便地通过OpenX展示、 管理、统计网站广告。不过目前OpenX已停止维护，存在多个已披露但未修复的漏洞(0day漏洞)， GreenFlashSundown Exploit Kit正是利用OpenX广告管理系统的漏洞修改广告分发代码， 将恶意代码植入网页中。 被植入恶意代码的是OpenX广告管理系统中www\delivery路径下负责广告分发的PHP模块。 浏览器请求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum 获取广告内容，被修改的广告分发模块在返回广告内容同时返回恶意代码。图2和图3分别表示正常站点和被 挂马站点OpenX分发的广告内容，可以看出被挂马站点返回的广告内容之前被插入了恶意JS脚本。 图2 正常站点OpenX分发的广告内容 图3 被挂马站点OpenX分发的广告内容(红框中为被插入的恶意代码) 国内多个被挂马站点中挂马页面中被插入的恶意脚本地址为hxxp://advertmention.com/js/ads.min.js， 该恶意脚本下载带有CVE-2018-4878漏洞利用代码的flash对象，向用户计算机中植入挖矿木马。 站点OpenX漏洞被利用，黑客进行挂马攻击 以51CTO.com和cmechina.net为例，他们所使用的OpenX系统均存在已公开漏洞。(51CTO.com使用的OpenX为2.8.9版， cmechina.net使用的是2.8.7版)。OpenX曾经爆出多个高危漏洞，漏洞类型包括SQL注入、XSS、CSRF等， 其中CVE-2013-3514和CVE-2013-3515是XSS漏洞，影响OpenX2.8.10及以下版本，攻击者能够向页面中植入 任意脚本;而CVE-2013-4211影响OpenX2.8.10及以上版本，允许攻击者植入PHP后门。图4展示了exploit -db上收集的OpenX过往漏洞信息，可见OpenX低版本存在许多高危漏洞。 图4exploit-db上收集的OpenX过往漏洞信息 目前GreenFlash SundownExploit Kit也已集成了针对使用OpenX广告管理系统站点的攻击组件， 攻击者可利用该工具对这些站点实施了攻击。 OpenX千疮百孔，弃用OpenX或是最好选择 OpenX已经多年未维护，并且几乎每个版本都存在高危漏洞，其中CVE-2013-4211至今未得到修复。 此外，距离OpenX最后一次提交也有五年了。由于OpenX广告管理系统已是千疮百孔，网站管理员只 能通过对指定页面执行访问控制来避免已披露漏洞的攻击，但对于未知漏洞只能束手就擒。 或许弃用OpenX，选择更好更安全的广告管理系统才是最好的解决方案。 临时防护建议 由于OpenX已停止维护，网站管理者可以从以下几个方面进行临时防护： 1. 为站点配置waf防御攻击; 2. 对广告系统以下路径下的文件执行访问控制：www/admin 3. 删除触发CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(下图