近日,360互联网安全中心监测到又一轮CVE-2018-4878挂马攻击在国内爆发。本轮攻击于4月19日开始,黑客将恶意代码插入国内知名下载站52pk.com的部分页面中,这些页面一般以52pk游戏启动器展示页面的形式存在。因此用户在访问相关页面或者通过52pk游戏启动器启动游戏时就可能中招。中招用户计算机中将被植入恶意挖矿木马,占用计算机资源挖取门罗币。 CVE-2018-4878是存在于Adobe Flash Player 28.0.0.137及之前版本的远程代码执行漏洞,之前被发现用于投放勒索木马和挖矿木马,在本月初,我们发现该漏洞开始在国内被利用(见报告《CVE-2018-4878国内首现野外利用,释放挖矿木马牟利》)。而本次挂马攻击是CVE-2018-4878漏洞挂马在国内第一次大规模爆发。
攻击分析 图1 hxxp://advertmention.com/js/ads.min.js会在页面中嵌入一段html代码,这段html代码加载地址为hxxp://advertmention.com/affilate/adv.php的flash对象,该flash对象即是cve-2018-4878的漏洞利用载荷。图2展示了这段嵌入到页面中的html代码。 图2 漏洞利用成功后将在%appdata%\Microsoft\Security目录下植入文件名为mcrstdio.exe的挖矿木马,占用用户计算机资源挖取门罗币。由漏洞触发到挖矿机执行的完整流程如图三所示。 图3 影响范围 挂马攻击出现在52pk.com的主站,以及52pk游戏启动器,用户在通过浏览器访问52pk下载站以及打开游戏时均可能中招。特别是52pk游戏启动器,这是所有从52pk.com站点下载的游戏启动时的必经之路,而挂马攻击最终执行的又是严重影响系统性能的挖矿木马,因此此次攻击对游戏玩家危害巨大。请游戏玩家及时自检。 图4游戏启动器界面
防御措施 1.使用安全软件漏洞修复功能修复相关的flash漏洞。 2.目前针对此类挖矿木马360安全卫士已经可以成功拦截和清除。 IOC MD5s ce2de0ab991d71b9d91cefd6799a55f1 e913da686ecd6eaf29a36a7c7fcf7630 5eb818c4766f8ce4d11ce740f83b60fe fd42bde6e7f4e645016a627796f91e48 51b38d33bcb3eb798d6b20c04502b36d 7e0e818fcb069e1dda90165f4c5b6534 URLs hxxp://advertmention.com/js/ads.min.js hxxp://advertmention.com/affilate/adv.php hxxp://advertnotices.com/index.php hxxp://owtincome.advertmention.com/index.php1 hxxp://microsoft.adverthelp.com/index.php1 hxxp://microsoft.adverthelp.com/index.php hxxp://slim.adverthelp.com/index.php1 hxxp://harder.advertmention.com/index.php
|