Rig利用套件使用CVE-2018-8174傳播Monero礦機

Rig利用套件入侵網站來注入惡意代碼或腳本，將潛在的受害者重定向到利用套件的登錄頁。去年2月到3月，研究人員發現Rig的Seamless campaign在真實的登錄頁前增加了新的一層。

隨著代碼的更新，研究人員發現Rig集成了一個加密貨幣挖礦的惡意軟體作為最後一步的payload。基於對Rig的最近活動分析，研究人員發現Rig正在利用一個遠程代碼執行漏洞CVE-2018-8174。該利用好像是來源於一個最近披露的PoC。安全漏洞會影響運行win 7及更高版本的操作系統，並且漏洞通過使用易受攻擊的腳本引擎的IE和office運行。

Rig已成為最活躍的利用工具。Rig利用了許多的漏洞，包括Adobe Flash中的代碼執行漏洞CVE-2015-8651。

Rig的最近活動

Rig表明最近利用套件活動減少並不表示已停止運營。事實上，其他的網路犯罪分子正以此為機會去修改工具和技術。4月份，Rig就使用Adobe Flash中的後釋放漏洞CVE-2018-4878來替代CVE-2015-8651。

最近，因為加密貨幣挖礦的流行性，Rig正在傳播GandCrab勒索軟體和Panda Banker這樣的惡意軟體。惡意加密貨幣挖礦的破壞性可能不大，但其影響是長期的。除非有特別明顯的影響，否則感染非常不容易被發現，這也讓網路犯罪分子可以獲得更多的非法收入。

圖1: 該活動的感染鏈

感染鏈

Rig的Seamless campaign使用了惡意廣告。在這種情況下，惡意廣告一般含有隱藏的iframe可以將受害者重定向到Rig的登錄頁，而登錄頁中含有CVE-2018-8174的利用和shellcode。這可以讓登錄頁混淆的shellcode啟動遠程代碼執行。在成功的利用之後，第二階段的下載器就會被提取，根據URL可以判斷第二階段下載器應該是SmokeLoader的變種。該URL可以下載最後階段的payload，一個Monero挖礦機。

圖2: Rig Seamless相關的iframe

圖3: 加密的shellcode（上）和混淆後的CVE-2018-8174利用（下）

圖4: Monero挖坑機的配置

圖5: 加密貨幣挖礦軟體的進程樹(wuapp.exe)

緩解措施

利用工具可以將受害者置於多個威脅之中，從信息竊取和文件加密到惡意加密貨幣挖礦活動。經常性的更新系統補丁是一種比較有效的預防措施。對於企業的最佳實踐有：

·開啟應用防火牆和入侵檢測防禦系統來更好的監控和掃描流經企業網路的流量；

·使用應用控制來緩解可以的應用和進程執行引起的非授權的訪問和許可權；

·限制或關閉非必要的或過時的插件、擴展和其他可作為入口點的應用。

IoC

相關哈希 (SHA-256):

23A05DB7E30B049C5E60BF7B875C7EFC7DCD95D9B775F34B11662CBD2A4DD7B4 — Internet Explorer exploit (VBScript) for CVE-2018-8174 detected as VBS_CVE20188174.BBC1FD88BBA6A497DF68A2155658B5CA7306CD94BBEA692287EB8B59BD24156B4— Flash (SWF) exploit for CVE-2018-8174 detected as SWF_CVE20184878.O66E4E472DA1B128B6390C6CBF04CC70C0E873B60F52EABB1B4EA74EBD119DF18 — YUYMR (SmokeLoader)716a65e4b63e442756f63e3ac0bb971ee007f0bf9cf251b9f0bfd84e92177600 — COINMINER_MALXMR.THDBFAK-WIN32 (Monero Miner)

相關IP地址和惡意域名：

206[.]189[.]89[.]6546[.]30[.]42[.]18vnz[.]bitkhuongduy[.]ru/z[.]txt

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！