查看: 2075|回复: 6
收起左侧

[技术原创] 新一轮挂马攻击来袭,打开游戏就中招!

[复制链接]
360主动防御
发表于 2018-4-24 10:02:08 | 显示全部楼层 |阅读模式
近日,360互联网安全中心监测到又一轮CVE-2018-4878挂马攻击在国内爆发。本轮攻击于4月19日开始,黑客将恶意代码插入国内知名下载站52pk.com的部分页面中,这些页面一般以52pk游戏启动器展示页面的形式存在。因此用户在访问相关页面或者通过52pk游戏启动器启动游戏时就可能中招。中招用户计算机中将被植入恶意挖矿木马,占用计算机资源挖取门罗币。
CVE-2018-4878是存在于Adobe Flash Player 28.0.0.137及之前版本的远程代码执行漏洞,之前被发现用于投放勒索木马和挖矿木马,在本月初,我们发现该漏洞开始在国内被利用(见报告《CVE-2018-4878国内首现野外利用,释放挖矿木马牟利》)。而本次挂马攻击是CVE-2018-4878漏洞挂马在国内第一次大规模爆发。

攻击分析
被挂木马页面的URL为hxxp://down.52pk.com/cw/index_new.shtml。黑客在页面中嵌入了一个<script>标签,脚本内容指向hxxp://advertmention.com/js/ads.min.js。图1左侧展示了被挂马的页面,右侧红框中即为被插入的javascript脚本。
图1
         hxxp://advertmention.com/js/ads.min.js会在页面中嵌入一段html代码,这段html代码加载地址为hxxp://advertmention.com/affilate/adv.php的flash对象,该flash对象即是cve-2018-4878的漏洞利用载荷。图2展示了这段嵌入到页面中的html代码。
图2
         漏洞利用成功后将在%appdata%\Microsoft\Security目录下植入文件名为mcrstdio.exe的挖矿木马,占用用户计算机资源挖取门罗币。由漏洞触发到挖矿机执行的完整流程如图三所示。
图3
影响范围
         挂马攻击出现在52pk.com的主站,以及52pk游戏启动器,用户在通过浏览器访问52pk下载站以及打开游戏时均可能中招。特别是52pk游戏启动器,这是所有从52pk.com站点下载的游戏启动时的必经之路,而挂马攻击最终执行的又是严重影响系统性能的挖矿木马,因此此次攻击对游戏玩家危害巨大。请游戏玩家及时自检
图4游戏启动器界面

防御措施
1.使用安全软件漏洞修复功能修复相关的flash漏洞。
2.目前针对此类挖矿木马360安全卫士已经可以成功拦截和清除。
IOC
MD5s
ce2de0ab991d71b9d91cefd6799a55f1
e913da686ecd6eaf29a36a7c7fcf7630
5eb818c4766f8ce4d11ce740f83b60fe
fd42bde6e7f4e645016a627796f91e48
51b38d33bcb3eb798d6b20c04502b36d
7e0e818fcb069e1dda90165f4c5b6534
URLs
hxxp://advertmention.com/js/ads.min.js
hxxp://advertmention.com/affilate/adv.php
hxxp://advertnotices.com/index.php
hxxp://owtincome.advertmention.com/index.php1
hxxp://microsoft.adverthelp.com/index.php1
hxxp://microsoft.adverthelp.com/index.php
hxxp://slim.adverthelp.com/index.php1
hxxp://harder.advertmention.com/index.php

沧桑浪子
发表于 2018-4-24 11:39:47 | 显示全部楼层
记得好多年前,在52pk或者是类似域名的网站上下载过DNF游戏外{过}{滤}挂,哈哈哈!
KK院长
发表于 2018-4-24 16:41:40 | 显示全部楼层
一个新的Flash 0Day漏洞(CVE-2018-4878),该漏洞影响 Flash Player 当前最新版本28.0.0.137以及之前的所有版本,而Adobe公司计划在当地时间2月5日紧急发布更新来修复此漏洞。
julia跺跺
发表于 2018-4-24 17:02:53 | 显示全部楼层
KK院长 发表于 2018-4-24 16:41
一个新的Flash 0Day漏洞(CVE-2018-4878),该漏洞影响 Flash Player 当前最新版本28.0.0.137以及之前的所 ...

所以咯 及时更新系统跟打补丁才是王道啊
cloud01
头像被屏蔽
发表于 2018-4-25 10:33:51 | 显示全部楼层
早点取消flash player就好了。 但html使用又怕而已代码病毒和脚本病毒 ,是不是应该限制浏览器 脚本和运行的范围。浏览器好麻烦了现在。
ghostByWolf
发表于 2018-4-25 14:49:10 | 显示全部楼层
基本上不用flash了....
tcgg1983
发表于 2018-4-25 15:34:33 | 显示全部楼层
360技术棒棒的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:20 , Processed in 0.117474 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表