redkit曾參與最近在NBC網(wǎng)站的垃圾郵件黑客活動和波士頓爆炸案。安全專家分析它可能正在針對利用 WEB服務(wù)器(Apache, Nginx等)，更有可能安裝在服務(wù)器本身來進(jìn)行竊取。

首先，來看看redkit是如何運(yùn)作的：

當(dāng)受害者瀏覽一個已被攻擊者利用的Web站點(diǎn)，通常被重定向到攻擊載體。這種重定向有幾種不同的階段，但在過去的幾個月中，Sophos安全公司發(fā)現(xiàn)TROJ/IFRAME-JG塊使用得很頻繁。

從下面的圖片中可以看到，iframe注入的頁面可以很容易看的出來：

最初的重定向(通常是一個iframe)到另一個合法的站點(diǎn)，但其服務(wù)器已被攻破(此為第一階段重定向)。然后重定向到一個4字符的 .htm 或 .html的頁面中的目標(biāo)Web服務(wù)器的root界面。例如：

compromised_site.net/dfsp.html

compromised_site.com/zpdb.html

從這個重定向響應(yīng)一個HTTP301重定向(此為第二階段重定向)。

301重定向?qū)⑹芎φ叻磸椀揭驯焕肳eb服務(wù)器，這里又是一個加了四字符的.htm 或 .html頁面。

這個時候，惡意的內(nèi)容，通過一個登陸頁面加載惡意JAR來施展攻擊。

但Redkit只是針對JAVA的漏洞。

而現(xiàn)在登陸頁面都略有不同，比如使用JNLP(java網(wǎng)絡(luò)加載協(xié)議)：

對受害人而言，惡意的內(nèi)容是從入侵web服務(wù)器(第二階段重定向)來傳遞。然而，后來發(fā)現(xiàn)，這些內(nèi)容是永遠(yuǎn)不會存儲該Web服務(wù)器上的。

相反，redkit利用入侵的web服務(wù)器加載一個PHP shell，來管理。 這個PHP的shell是負(fù)責(zé)：

將彈彈第一階段重定向到另一個服務(wù)器(隨機(jī)選取)。 PHP shell連接redkit的一個遠(yuǎn)程命令控制(C&C)服務(wù)器，以獲得其他惡意網(wǎng)站(每個小時更新)的列表。

提供惡意登陸頁面和JAR內(nèi)容給受害者。這是不是從磁盤加載的?相反，它是通過C&C服務(wù)器HTTPS下載的(使用curl)。因此，PHP shell基本上起到了一個惡意內(nèi)容的代理。

PHP的shell Troj/PHPRed-A

PHP的shell是與一個.htaccess文件來協(xié)同工作的，負(fù)責(zé)用來引導(dǎo)傳入的HTTP請求(4個字符的htm / html文件)必要的PHP腳本。

以下的圖說明了這一點(diǎn)