The playground

More information here

fjernelse af lystfisker udnytte Kit

introduktionlystfisker udnytte kit fjernelsen tallene konklusion om ” foreslået læsning “fra ENISA introduktion I oktober 2015 Talos, Ciscos Security Intelligence and Research Group, udgivet en erklæring om, hvordan de “slog et slag” til en gruppe af cyberkriminelle ved at forstyrre deres indtægtsstrøm genereret gennem den berygtede lystfisker udnytte Kit s. Ifølge Talos var fjernelsen rettet […]

introduktion

I oktober 2015 Talos, Ciscos Security Intelligence and Research Group, udgivet en erklæring om, hvordan de “slog et slag” til en gruppe af cyberkriminelle ved at forstyrre deres indtægtsstrøm genereret gennem den berygtede lystfisker udnytte Kit s. Ifølge Talos var fjernelsen rettet mod en trusselaktør, der var ansvarlig for næsten halvdelen af alle lystfiskere, der udnyttede Kit ‘ s aktiviteter, og blev anslået til at generere mere end $30 millioner årligt ved at skubbe løsepenge på intetanende ofre.Angler udnytte kit har været knyttet til flere løsepenge kampagner, herunder den udbredte kryptovaluta og TeslaCrypt, og er bredt anerkendt som en af de mest avancerede udnytte kits på markedet. Betydningen af denne fjernelse skyldtes ikke kun forstyrrelsen af cyberkriminellernes indtægtsstrøm, men også på grund af nyttige oplysninger, som Talos var i stand til at indsamle, analysere og formidle i deres detaljerede rapport. Som et resultat af denne operation fik samfundet en sjælden mulighed for at få et indvendigt kig på infrastrukturen, der kører denne slags kampagner. Disse oplysninger er vigtige for sikkerhedsanalytikere og ingeniører, der ønsker at beskytte deres systemer mod sådanne angreb.

lystfisker udnytte kit

fjernelsen blev forvaltet af Cisco Systems’ Talos security unit, som undersøgte lystfisker udnytte kit. Angler er et af de mest sofistikerede udnyttelsessæt, der er tilgængelige på det meget konkurrencedygtige underjordiske marked. Det kan prale af evnen til at inficere en anslået 40% af de målrettede slutbrugere ved at udnytte sårbarheder i bro.ser plugins. I nogle tilfælde udnyttede kittet nul-dages sårbarheder. Talos præsenterede en informativ video, der forklarer Anglers infrastruktur og demonstrerer brugen af angler til at kompromittere en maskine og installere løsepenge.

Angler er kendt for at indsamle brugeroplysninger og tilpasse angreb baseret på de programversioner, der bruges. De fleste kampagner målrettede brugere, der kører gamle og upatchede versioner af Adobe Flash og Internet Stifinder. Faktisk var næsten 75% af de udnyttelser, der blev serveret gennem Angler, Adobe Flash-relaterede.

Talos nævnte, at Angler også blev brugt til at distribuere forskellige typer angreb. De identificerede et værktøj kendt som Bedep-henteren, som er ondsindet program, der leverer yderligere nyttelast, såvel som ondsindet program, der bruges i klikbedrageri-svindel og et par tilfælde af keyloggers.

fjernelsen

Lystfiskerinfrastrukturen bruger en fuldmægtig-serverkonfiguration. Den ondsindede aktivitet serveres fra en enkelt udnytte server gennem flere fuldmægtig servere. Ofrene kommunikerer med fuldmagts servere, og ikke direkte med udnyttelsesserveren, med evnen til at dirigere kommunikation gennem forskellige fuldmagter. Denne tilgang komplicerer undersøgelser og beskytter dermed infrastrukturen. Der er også en sundhedsovervågningsserver, der udfører sundhedskontrol og indsamler oplysninger om målmaskinerne.

lystfisker datastrøm

kilde: https://blog.opendns.com/

under deres undersøgelse så Talos, at en stor procentdel af inficerede endestationer er blevet brugere oprettede forbindelse til servere, der blev drevet af tjenesteudbyderen kalksten netværk, der blev enige om at samarbejde med Talos for at nedtage infrastrukturen. Gennem deres undersøgelse, de fandt en enkelt” trussel skuespiller”, der var rettet mod så mange som 90k slutbrugere om dagen. De identificerede en enkelt sundhedsserver, der overvågede 147 fuldmægtige servere i løbet af en måned.

Talos sinkholed (omdirigeret domænet til en kontrolleret IP) de identificerede domæner og lukke fuldmægtig servere. I samarbejde med Limestone-netværk opnåede de live diskbilleder af de relevante servere, hvilket gjorde det muligt for dem bedre at forstå den underliggende infrastruktur.

under hele operationen spillede samarbejde en vigtig rolle. Uden samarbejde med kalksten netværk, Talos ville have haft meget begrænset synlighed af, og adgang til infrastrukturen. Yderligere synlighed i netværkets globale aktivitet blev leveret takket være deres samarbejde med Level 3 Threat Research Labs. Derudover gav samarbejdet med OpenDNS Talos dybdegående synlighed i den domæneaktivitet, der var forbundet med angrebene. OpenDNS skrev også en interessant blogindlæg om fjernelsen.

tallene

sundhedsserveren var kritisk i forståelsen af kampagnens omfang og tillod Talos at sætte en realistisk pengeværdi på operationen. Denne enkelt operation var ansvarlig for cirka halvdelen af Lystfiskeraktiviteten og blev anslået til at generere $30 millioner årligt fra løsepenge-infektioner alene, hvilket ville antyde, at det fulde omfang af Lystfiskeraktivitet let kunne genereres mere end $60 millioner årligt.

15.000 unikke steder skubbede udnyttelsessættet til intetanende besøgende med mere end 60 procent af infektionerne, der leverede enten Kryptovæg 3.0 eller TeslaCrypt 2.0 løsepenge. Interessant nok bemærkede Talos, at flere nekrologsider var målrettet. De mener, at dette blev gjort som et middel til at målrette mod ældre, der er mere tilbøjelige til at bruge unpatched programmer og bruge IE, som er standard vinduer OS. Også, ældre borgere er kendt for at være modtagelige for løsepenge. Ifølge en undersøgelse foretaget af Stanford Center On Longevity og FINRA Investor Education Foundation i USA er folk i alderen 65 år og derover 34% mere tilbøjelige til at have mistet penge på en økonomisk fidus end folk i 40 ‘ erne.

$30m årlige indtægtsestimat blev opnået ved hjælp af følgende fakta, estimater og beregninger:

  • på 1 dag serverede Angler server udnyttelser til 9000 unikke IP-adresser
  • 40% af brugerne, der serveres udnyttelse af Angler, er kompromitteret
  • derfor i 1 dag Angler server kompromiser 3600
  • Sundhedsserver overvågede 147 Lystfiskerservere over 1 måned
  • dette resulterer i omkring 529.000 systemer inficeret over 1 måned
  • 62% af Angler infektioner leveret løsepenge
  • 2.9% af ofrene betalte løsepenge (ifølge US-CERT citerer en Symantec-undersøgelse)
  • gennemsnitlig løsepenge på $300
  • dette resulterer i $3 Millioner om måneden
  • >$30m årligt

tallene ovenfor er estimater, men de er baseret på realistiske data.

konklusion

afbrydelsen af operationen, der er ansvarlig for halvdelen af Angler kit ‘ s aktivitet, er gode nyheder, og alle aktører i denne operation fortjener ros. Denne sag viste, at samarbejde mellem forskellige aktører med lignende interesser kan gå langt. Den rigtige blanding af faktorer som viden, ressourcer, jurisdiktion og strategisk position kan være yderst gavnlig og mere virkningsfuld end en uafhængig enhed, der opererer alene.

om ” foreslået læsning “fra ENISA

med serien” foreslået læsning ” sigter ENISA mod at give den interesserede læser vejledning om kontroversielle og uudgrundelige NIS-relaterede diskussioner, der udføres i medierne, ved at foreslå udvalgte forud gennemgåede artikler, der efter vores mening forklarer det aktuelle spørgsmål og relaterede omstændigheder på en rimelig og forståelig måde. Denne opfattelse er afledt af tidligere erfaringer og sund fornuft; på ingen måde bør “foreslået læsning” forstås som anbefalet handlingsforløb i en bestemt hændelse eller efterforskning eller være en endelig konklusion. Du er velkommen til at komme i kontakt med ENISA for at diskutere eller spørge mere information til serien “foreslået læsning” ([email protected]).

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.