The playground

More information here

odstranění Angler Exploit Kit

ÚvodAngler exploit kitzastavení šíření Číslazávěr O „Doporučené četby“ od agentury ENISA Úvod V říjnu 2015 Talos, Cisco Security Intelligence a Výzkumné Skupiny, vydala prohlášení o tom, jak se „udeřil“ do skupiny zločinci, tím, že narušují jejich příjmů generovaných prostřednictvím nechvalně Angler Exploit Kit. Podle Talos, takedown byl zaměřen na hrozbu herec, který byl zodpovědný za […]

Úvod

V říjnu 2015 Talos, Cisco Security Intelligence a Výzkumné Skupiny, vydala prohlášení o tom, jak se „udeřil“ do skupiny zločinci, tím, že narušují jejich příjmů generovaných prostřednictvím nechvalně Angler Exploit Kit. Podle Talos, takedown byl zaměřen na hrozbu herec, který byl zodpovědný za téměř polovinu všech Angler Exploit Kit činnosti, a byl odhaduje se, generovat více než $30 MILIONŮ ročně tím, že tlačí ransomware na nic netušící oběti.

sada Angler exploit kit byla propojena s několika kampaněmi ransomware, včetně rozšířených CryptoWall a TeslaCrypt, a je široce uznávána jako jedna z nejpokročilejších exploit kitů na trhu. Význam této operace bylo nejen vzhledem k narušení zločinci‘ zdroj příjmů, ale také proto, že užitečné informace, které Talos se podařilo shromáždit, analyzovat a šířit ve své podrobné zprávě. V důsledku této operace, komunita dostala vzácnou příležitost podívat se dovnitř na infrastrukturu provozující tento druh kampaní. Tyto informace jsou důležité pro bezpečnostní analytiky a inženýry, kteří chtějí chránit své systémy před takovými útoky.

Angler exploit kit

zastavení šíření bylo řízeno bezpečnostní jednotkou společnosti Cisco Systems Talos, která zkoumala sadu Angler Exploit kit. Rybář je jednou z nejsofistikovanějších exploitových souprav dostupných na vysoce konkurenčním trhu s podzemním malwarem. Může se pochlubit schopností úspěšně infikovat odhadem 40% cílených koncových uživatelů využíváním zranitelností v prohlížečích a pluginech prohlížeče. V některých případech souprava využila zranitelnosti nulového dne. Talos představil informativní video, které vysvětluje infrastrukturu rybáře a demonstruje použití rybáře ke kompromitaci stroje a instalaci ransomwaru.

je známo, že rybář shromažďuje informace o uživateli a přizpůsobuje útoky na základě použitých verzí softwaru. Většina kampaní se zaměřila na uživatele se starými a neopravenými verzemi Adobe Flash a Internet Explorer. Ve skutečnosti téměř 75% exploitů obsluhovaných prostřednictvím rybáře souviselo s Adobe Flash.

Talos zmínil, že rybář byl také používán k distribuci různých typů útoků. Identifikovali nástroj, známý jako Bedep downloader, který je malware, který přináší další náklad, stejně jako malware používá v klepněte na tlačítko podvody a několik instancí keyloggery.

zastavení šíření

infrastruktura rybářů používá konfiguraci proxy serveru. Škodlivá aktivita se podává z jednoho exploitového serveru prostřednictvím více proxy serverů. Oběti komunikují s proxy servery, a ne přímo s exploit serverem, se schopností směrovat komunikaci prostřednictvím různých proxy serverů. Tento přístup komplikuje vyšetřování a chrání tak infrastrukturu. K dispozici je také server pro monitorování zdraví, který provádí zdravotní kontroly a shromažďuje informace o cílových strojích.

Rybář datový tok

Zdroj: https://blog.opendns.com/

Během jejich vyšetřování, Talos viděl, že velké procento infikovaných konci byli uživatelé připojení k serverům, které byly provozovány poskytovatelem služby Vápence Sítí, který souhlasil spolupracovat s Talos s cílem zničit infrastrukturu. Prostřednictvím svého vyšetřování našli jediného „hrozícího herce“, který se zaměřoval až na 90 tisíc koncových uživatelů denně. Identifikovali jediný zdravotní server, který monitoroval 147 proxy serverů po dobu jednoho měsíce.

Talos potopil (přesměroval doménu na řízenou IP) identifikované domény a vypnul proxy servery. Ve spolupráci s vápencovými sítěmi získali živé diskové obrazy příslušných serverů, což jim umožnilo lépe porozumět základní infrastruktuře.

během celé operace hrála spolupráce zásadní roli. Bez spolupráce vápencových sítí by Talos měl velmi omezenou viditelnost a přístup k infrastruktuře. Další viditelnost do globální aktivity sítě byla zajištěna díky spolupráci s laboratořemi Level 3 Threat Research Labs. Spolupráce s OpenDNS navíc poskytla Talosu důkladnou viditelnost aktivity domény spojené s útoky. OpenDNS také napsal zajímavý blogový příspěvek o zastavení šíření.

Čísla

zdraví serveru je klíčové v chápání rozsahu kampaně, a nechá Talos dát reálnou peněžní hodnotu na provoz. To jediné operace byl zodpovědný za přibližně polovinu Rybář činnost a byl odhaduje se, generovat $30M každoročně od ransomware infekcí sám, což by znamenalo, že plný rozsah Rybář aktivity by mohly snadno generovány více než 60 milionů dolarů ročně.

15.000 jedinečné stránky tlačily exploit kit na nic netušící návštěvníky s více než 60 procenty infekcí dodávajících buď CryptoWall 3.0 nebo TeslaCrypt 2.0 ransomware. Zajímavě, Talos si všiml, že několik nekrologických webových stránek bylo zaměřeno. Věří, že toto bylo děláno jako prostředek k cíli seniory, kteří jsou více pravděpodobné, že použití neopravených software a použít IE, což je výchozí OS Windows prohlížeč. Také je známo, že starší občané jsou náchylní k ransomwaru. Podle studie Stanford Center na Dlouhověkost a FINRA Vzdělávání Investorů Nadace v USA, lidé ve věku 65 let a více než 34% více pravděpodobné, že přišel o peníze na finanční podvod, než lidé v jejich 40.letech.

$30M roční příjmy odhad byl získán pomocí následující fakta, odhady a výpočty:

  • V 1 den, Rybář server podává výkony na 9000 unikátních IP adres
  • 40% uživatelů se podává tím, že využije Rybář jsou ohroženy
  • Proto 1 den Rybář server kompromisy 3600
  • Zdravotní server monitorování 147 Rybář servery přes 1 měsíc
  • To má za následek kolem 529.000 infikované systémy nad 1 měsíc
  • 62% Rybář infekce dodáno Ransomware
  • 2.9% obětí zaplatil výkupné (podle US-CERT cituje Symantec studie)
  • Průměrné výkupné ve výši $300
  • výsledky za 3 Miliony dolarů za měsíc
  • >$30M ročně

čísla nad odhady, avšak jsou založeny na skutečných údajích.

závěr

přerušení operace odpovědné za polovinu aktivity rybáře kit je dobrou zprávou a všichni aktéři této operace si zaslouží pochvalu. Tento případ ukázal, že spolupráce mezi různými aktéry s podobnými zájmy může jít dlouhou cestu. Správná kombinace faktorů, jako jsou znalosti, zdroje, jurisdikce a strategické postavení, může být mimořádně přínosná a působivější než nezávislá entita působící Samostatně.

O „Doporučené četby“ od agentury ENISA

S „Doporučené četby“ série ENISA usiluje o to, aby zainteresované čtenáře pokyny na kontroverzní a tajemné NIS související diskuse, které jsou prováděny v Médiích, tím, že navrhne vybrané pre-zhodnotil články, které podle našeho názoru vysvětlit problém na dosah ruky a související okolnosti, za rozumné a pochopitelné způsobem. Tento názor je odvozen z minulých zkušeností a zdravého rozumu; v žádném případě by „Doporučené četby“ chápat jako doporučený postup v konkrétní událost nebo šetření, nebo je konečný závěr. Neváhejte se dostat do kontaktu s ENISA diskutovat nebo dotazovat více informací o“ doporučené čtení “ série ([email protected]).

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.