260
波士頓爆炸案Redkit漏洞利用包解析
redkit曾參與最近在NBC網站的垃圾郵件黑客活動和波士頓爆炸案。安全專家分析它可能正在針對利用 WEB服務器(Apache, Nginx等),更有可能安裝在服務器本身來進行竊取。
首先,來看看redkit是如何運作的:
當受害者瀏覽一個已被攻擊者利用的Web站點,通常被重定向到攻擊載體。這種重定向有幾種不同的階段,但在過去的幾個月中,Sophos安全公司發現TROJ/IFRAME-JG塊使用得很頻繁。
從下麵的圖片中可以看到,iframe注入的頁麵可以很容易看的出來:
direction站點,但其服務器已被攻破(此為第一階段重定向)。然後重定向到一個4字符的 .htm 或 .html的頁麵中的目標Web服務器的root界麵。例如:
compromised_site.net/dfsp.html
compromised_site.com/zpdb.html
從這個重定向響應一個HTTP301重定向(此為第二階段重定向)。
301重定向將受害者反彈到已被利用Web服務器,這裏又是一個加了四字符的.htm 或 .html頁麵。
這個時候,惡意的內容,通過一個登陸頁麵加載惡意JAR來施展攻擊。
但Redkit隻是針對JAVA的漏洞。
而現在登陸頁麵都略有不同,比如使用JNLP(java網絡加載協議):
對受害人而言,惡意的內容是從入侵web服務器(第二階段重定向)來傳遞。然而,後來發現,這些內容是永遠不會存儲該Web服務器上的。
相反,redkit利用入侵的web服務器加載一個PHP shell,來管理。 這個PHP的shell是負責:
將彈彈第一階段重定向到另一個服務器(隨機選取)。 PHP shell連接redkit的一個遠程命令控製(C&C)服務器,以獲得其他惡意網站(每個小時更新)的列表。
提供惡意登陸頁麵和JAR內容給受害者。這是不是從磁盤加載的?相反,它是通過C&C服務器HTTPS下載的(使用curl)。因此,PHP shell基本上起到了一個惡意內容的代理。
PHP的shell Troj/PHPRed-A
PHP的shell是與一個.htaccess文件來協同工作的,負責用來引導傳入的HTTP請求(4個字符的htm / html文件)必要的PHP腳本。
以下的圖說明了這一點
最後更新:2017-04-03 18:51:53