攻擊預警！GreenFlashSundown Exploit Kit攻擊國內多家大型站點

本周早些時候，360安全衛士發布預警文章《新一輪掛馬攻擊來襲，打開遊戲就中招！》。文章稱有攻擊團伙向國內知名下載站點52pk.com頁面中插入CVE-2018-4878漏洞的flash對象進行攻擊。後續監控發現知名IT技術網站51CTO.com和醫護學習交流平台cmechina.net也遭到掛馬攻擊。根據我們對掛馬樣本特徵的分析，這三起掛馬攻擊都來自同一組織，由臭名昭著的漏洞利用套件GreenFlashSundown Exploit Kit完成。圖1展示了掛馬攻擊網路請求。

圖1 掛馬攻擊網路請求

GreenFlashSundown Exploit Kit是一個功能全面的漏洞利用套件，最早出現在2016年，是SundownExploit Kit的一個變種。GreenFlash Sundown Exploit Kit曾被用於下發Locky勒索病毒、Hermes勒索病毒，這是GreenFlashSundown Exploit Kit首次被發現用於在國內傳播挖礦木馬。

國內使用OpenX廣告系統站點成攻擊對象

我們對此次攻擊行動了分析，最近多起掛馬攻擊都是針對國內使用OpenX廣告管理系統的站點。OpenX是一個基於PHP的網站廣告管理與跟蹤系統，網站管理者可以十分方便地通過OpenX展示、管理、統計網站廣告。不過目前OpenX已停止維護，存在多個已披露但未修復的漏洞（0day漏洞），GreenFlashSundown Exploit Kit正是利用OpenX廣告管理系統的漏洞修改廣告分發代碼，將惡意代碼植入網頁中。

被植入惡意代碼的是OpenX廣告管理系統中wwwdelivery路徑下負責廣告分發的PHP模塊。瀏覽器請求hxxp://OpenX_host/www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum獲取廣告內容，被修改的廣告分發模塊在返回廣告內容同時返回惡意代碼。圖2和圖3分別表示正常站點和被掛馬站點OpenX分發的廣告內容，可以看出被掛馬站點返回的廣告內容之前被插入了惡意JS腳本。

圖2 正常站點OpenX分發的廣告內容

圖3 被掛馬站點OpenX分發的廣告內容（紅框中為被插入的惡意代碼）

國內多個被掛馬站點中掛馬頁面中被插入的惡意腳本地址為hxxp://advertmention.com/js/ads.min.js，該惡意腳本下載帶有CVE-2018-4878漏洞利用代碼的flash對象，向用戶計算機中植入挖礦木馬。

站點OpenX漏洞被利用，黑客進行掛馬攻擊

以51CTO.com和cmechina.net為例，他們所使用的OpenX系統均存在已公開漏洞。（51CTO.com使用的OpenX為2.8.9版，cmechina.net使用的是2.8.7版）。OpenX曾經爆出多個高危漏洞，漏洞類型包括SQL注入、XSS、CSRF等，其中CVE-2013-3514和CVE-2013-3515是XSS漏洞，影響OpenX2.8.10及以下版本，攻擊者能夠向頁面中植入任意腳本；而CVE-2013-4211影響OpenX2.8.10及以上版本，允許攻擊者植入PHP後門。圖4展示了exploit-db上收集的OpenX過往漏洞信息，可見OpenX低版本存在許多高危漏洞。

圖4exploit-db上收集的OpenX過往漏洞信息

目前GreenFlash SundownExploit Kit也已集成了針對使用OpenX廣告管理系統站點的攻擊組件，攻擊者可利用該工具對這些站點實施了攻擊。

OpenX千瘡百孔，棄用OpenX或是最好選擇

OpenX已經多年未維護，並且幾乎每個版本都存在高危漏洞，其中CVE-2013-4211至今未得到修復。此外，距離OpenX最後一次提交也有五年了。由於OpenX廣告管理系統已是千瘡百孔，網站管理員只能通過對指定頁面執行訪問控制來避免已披露漏洞的攻擊，但對於未知漏洞只能束手就擒。或許棄用OpenX，選擇更好更安全的廣告管理系統才是最好的解決方案。

臨時防護建議

由於OpenX已停止維護，網站管理者可以從以下幾個方面進行臨時防護：

1. 為站點配置waf防禦攻擊；

2. 對廣告系統以下路徑下的文件執行訪問控制：www/admin

3. 刪除觸發CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的後門代碼（下圖

本文由360核心安全媒介投稿

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！