Rig利用套件使用CVE-2018-8174传播Monero矿机

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

Rig利用套件入侵网站来注入恶意代码或脚本,将潜在的受害者重定向到利用套件的登录页。去年2月到3月,研究人员发现Rig的Seamless campaign在真实的登录页前增加了新的一层。

随着代码的更新,研究人员发现Rig集成了一个加密货币挖矿的恶意软件作为最后一步的payload。基于对Rig的最近活动分析,研究人员发现Rig正在利用一个远程代码执行漏洞CVE-2018-8174。该利用好像是来源于一个最近披露的PoC。安全漏洞会影响运行win 7及更高版本的操作系统,并且漏洞通过使用易受攻击的脚本引擎的IE和office运行。

Rig已成为最活跃的利用工具。Rig利用了许多的漏洞,包括Adobe Flash中的代码执行漏洞CVE-2015-8651。

Rig的最近活动

Rig表明最近利用套件活动减少并不表示已停止运营。事实上,其他的网络犯罪分子正以此为机会去修改工具和技术。4月份,Rig就使用Adobe Flash中的后释放漏洞CVE-2018-4878来替代CVE-2015-8651。

最近,因为加密货币挖矿的流行性,Rig正在传播GandCrab勒索软件和Panda Banker这样的恶意软件。恶意加密货币挖矿的破坏性可能不大,但其影响是长期的。除非有特别明显的影响,否则感染非常不容易被发现,这也让网络犯罪分子可以获得更多的非法收入。

Rig利用套件使用CVE-2018-8174传播Monero矿机

图1: 该活动的感染链

感染链

Rig的Seamless campaign使用了恶意广告。在这种情况下,恶意广告一般含有隐藏的iframe可以将受害者重定向到Rig的登录页,而登录页中含有CVE-2018-8174的利用和shellcode。这可以让登录页混淆的shellcode启动远程代码执行。在成功的利用之后,第二阶段的下载器就会被提取,根据URL可以判断第二阶段下载器应该是SmokeLoader的变种。该URL可以下载最后阶段的payload,一个Monero挖矿机。

Rig利用套件使用CVE-2018-8174传播Monero矿机

图2: Rig Seamless相关的iframe

Rig利用套件使用CVE-2018-8174传播Monero矿机

图3: 加密的shellcode(上)和混淆后的CVE-2018-8174利用(下)

Rig利用套件使用CVE-2018-8174传播Monero矿机

图4: Monero挖坑机的配置

Rig利用套件使用CVE-2018-8174传播Monero矿机

图5: 加密货币挖矿软件的进程树(wuapp.exe)

缓解措施

利用工具可以将受害者置于多个威胁之中,从信息窃取和文件加密到恶意加密货币挖矿活动。经常性的更新系统补丁是一种比较有效的预防措施。对于企业的最佳实践有:

· 开启应用防火墙和入侵检测防御系统来更好的监控和扫描流经企业网络的流量;

· 使用应用控制来缓解可以的应用和进程执行引起的非授权的访问和权限;

· 限制或关闭非必要的或过时的插件、扩展和其他可作为入口点的应用。

IoC

相关哈希 (SHA-256):

23A05DB7E30B049C5E60BF7B875C7EFC7DCD95D9B775F34B11662CBD2A4DD7B4 — Internet Explorer exploit (VBScript) for CVE-2018-8174 detected as VBS_CVE20188174.B
BC1FD88BBA6A497DF68A2155658B5CA7306CD94BBEA692287EB8B59BD24156B4— Flash (SWF) exploit for CVE-2018-8174 detected as SWF_CVE20184878.O
66E4E472DA1B128B6390C6CBF04CC70C0E873B60F52EABB1B4EA74EBD119DF18 — YUYMR (SmokeLoader)
716a65e4b63e442756f63e3ac0bb971ee007f0bf9cf251b9f0bfd84e92177600 — COINMINER_MALXMR.THDBFAK-WIN32 (Monero Miner)

相关IP地址和恶意域名:

206[.]189[.]89[.]65
46[.]30[.]42[.]18
vnz[.]bit
khuongduy[.]ru/z[.]txt


原文发布时间为:2018-06-6

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。

相关文章
|
7月前
|
安全 Shell 网络安全
Fortinet FortiNAC CVE-2022-39952简析
Fortinet 在其安全公告中表示,他们在keyUpload scriptlet中发现了一个漏洞,该漏洞允许未经身份验证的用户将任意文件上传到系统。攻击者可能会滥用此漏洞来创建 cronjob 或向易受攻击的系统添加 SSH 密钥并获得对它们的远程访问权限。
70 0
|
安全 网络安全
工控危险 施耐德PLC产品现高危漏洞
本文讲的是工控危险 施耐德PLC产品现高危漏洞,施耐德电气公司开始发布固件补丁处理影响该公司莫迪康(Modicon)M340可编程逻辑控制器(PLC)产品线的高严重性漏洞。
1710 0
|
安全 数据安全/隐私保护 Windows
Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件
本文讲的是Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件,2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致许多企业遭受攻击。
1301 0