RIG Exploit Kit使用PROPagate注入技术传播Monero Miner

一、介绍通过FireEye动态威胁情报（DTI），我们观察到RIG漏洞利用工具包（EK）增添了一个新功能代码：使用PROPagate注入技术来注入、下载并执行Monero矿工（类似的活动已经被Trend Micro报告）。除了利用鲜为人知的注入技术之外，攻击链还有一些其他有趣的特色，我们将在文中谈到。 二、攻击链攻击链始于用户访问受感染网站时，其iframe中将加载RIG EK登录页面。RIG EK使用各种技术来分发NSIS（Nullsoft脚本安装系统）Loader，该Loader利用PROPagate注入技术将shellcode注入explorer.exe。shellcode执行下一个有效载荷，下载并执行Monero矿工。攻击链的流程图如图1所示。图1：攻击链流程图三、Exploit Kit 分析当用户访问使用iframe注入的受感染站点时，iframe会加载登陆页。图2显示了注入受感染 ………………………………