redkit曾參與最近在NBC網(wǎng)站的垃圾郵件黑客活動(dòng)和波士頓爆炸案。安全專家分析它可能正在針對(duì)利用 WEB服務(wù)器(Apache, Nginx等)，更有可能安裝在服務(wù)器本身來(lái)進(jìn)行竊取。

首先，來(lái)看看redkit是如何運(yùn)作的：

當(dāng)受害者瀏覽一個(gè)已被攻擊者利用的Web站點(diǎn)，通常被重定向到攻擊載體。這種重定向有幾種不同的階段，但在過(guò)去的幾個(gè)月中，Sophos安全公司發(fā)現(xiàn)TROJ/IFRAME-JG塊使用得很頻繁。

從下面的圖片中可以看到，iframe注入的頁(yè)面可以很容易看的出來(lái)：

最初的重定向(通常是一個(gè)iframe)到另一個(gè)合法的站點(diǎn)，但其服務(wù)器已被攻破(此為第一階段重定向)。然后重定向到一個(gè)4字符的 .htm 或 .html的頁(yè)面中的目標(biāo)Web服務(wù)器的root界面。例如：

compromised_site.net/dfsp.html

compromised_site.com/zpdb.html

從這個(gè)重定向響應(yīng)一個(gè)HTTP301重定向(此為第二階段重定向)。

301重定向?qū)⑹芎φ叻磸椀揭驯焕肳eb服務(wù)器，這里又是一個(gè)加了四字符的.htm 或 .html頁(yè)面。

這個(gè)時(shí)候，惡意的內(nèi)容，通過(guò)一個(gè)登陸頁(yè)面加載惡意JAR來(lái)施展攻擊。

但Redkit只是針對(duì)JAVA的漏洞。

而現(xiàn)在登陸頁(yè)面都略有不同，比如使用JNLP(java網(wǎng)絡(luò)加載協(xié)議)：

對(duì)受害人而言，惡意的內(nèi)容是從入侵web服務(wù)器(第二階段重定向)來(lái)傳遞。然而，后來(lái)發(fā)現(xiàn)，這些內(nèi)容是永遠(yuǎn)不會(huì)存儲(chǔ)該Web服務(wù)器上的。

相反，redkit利用入侵的web服務(wù)器加載一個(gè)PHP shell，來(lái)管理。 這個(gè)PHP的shell是負(fù)責(zé)：

將彈彈第一階段重定向到另一個(gè)服務(wù)器(隨機(jī)選取)。 PHP shell連接redkit的一個(gè)遠(yuǎn)程命令控制(C&C)服務(wù)器，以獲得其他惡意網(wǎng)站(每個(gè)小時(shí)更新)的列表。

提供惡意登陸頁(yè)面和JAR內(nèi)容給受害者。這是不是從磁盤(pán)加載的?相反，它是通過(guò)C&C服務(wù)器HTTPS下載的(使用curl)。因此，PHP shell基本上起到了一個(gè)惡意內(nèi)容的代理。

PHP的shell Troj/PHPRed-A

PHP的shell是與一個(gè).htaccess文件來(lái)協(xié)同工作的，負(fù)責(zé)用來(lái)引導(dǎo)傳入的HTTP請(qǐng)求(4個(gè)字符的htm / html文件)必要的PHP腳本。

以下的圖說(shuō)明了這一點(diǎn)