The playground

More information here

The Takedown of the Angler Exploit Kit

IntroductionAngler Exploit KitDer Takedown Die ZahlenFazit About „Suggested Reading“ from ENISA Introduction Im Oktober 2015 veröffentlichte Talos, die Security Intelligence and Research Group von Cisco, eine Erklärung darüber, wie sie einer Gruppe von Cyberkriminellen „einen Schlag versetzt“ haben, indem sie ihre Einnahmequellen durch die berüchtigten Angler Exploit Kits gestört haben. Laut Talos richtete sich die […]

Introduction

Im Oktober 2015 veröffentlichte Talos, die Security Intelligence and Research Group von Cisco, eine Erklärung darüber, wie sie einer Gruppe von Cyberkriminellen „einen Schlag versetzt“ haben, indem sie ihre Einnahmequellen durch die berüchtigten Angler Exploit Kits gestört haben. Laut Talos richtete sich die Entfernung gegen einen Bedrohungsakteur, der für fast die Hälfte aller Aktivitäten von Angler Exploit Kit verantwortlich war und schätzungsweise mehr als 30 Millionen US-Dollar pro Jahr generiert, indem Ransomware auf ahnungslose Opfer übertragen wird.

Das Angler-Exploit-Kit wurde mit mehreren Ransomware-Kampagnen in Verbindung gebracht, darunter die weit verbreitete CryptoWall und TeslaCrypt, und gilt weithin als eines der fortschrittlichsten Exploit-Kits auf dem Markt. Die Bedeutung dieses Takedowns lag nicht nur an der Störung der Einnahmequelle der Cyberkriminellen, sondern auch an nützlichen Informationen, die Talos in ihrem detaillierten Bericht sammeln, analysieren und verbreiten konnte. Als Ergebnis dieser Operation hatte die Community die seltene Gelegenheit, einen Einblick in die Infrastruktur zu erhalten, in der diese Art von Kampagnen durchgeführt werden. Diese Informationen sind wichtig für Sicherheitsanalysten und Ingenieure, die ihre Systeme vor solchen Angriffen schützen möchten.

Angler Exploit Kit

Die Entfernung wurde von Cisco Systems ‚Talos Security Unit verwaltet, die das Angler Exploit Kit erforschte. Angler ist eines der fortschrittlichsten Exploit-Kits auf dem hart umkämpften Markt für unterirdische Malware. Es bietet die Möglichkeit, schätzungsweise 40% der Zielbenutzer erfolgreich zu infizieren, indem Schwachstellen in Browsern und Browser-Plugins ausgenutzt werden. In einigen Fällen nutzte das Kit Zero-Day-Schwachstellen aus. Talos präsentierte ein informatives Video, das die Infrastruktur von Angler erklärt und die Verwendung von Angler zur Kompromittierung einer Maschine und zur Installation von Ransomware demonstriert.Angler ist dafür bekannt, Benutzerinformationen zu sammeln und Angriffe basierend auf den verwendeten Softwareversionen anzupassen. Die meisten Kampagnen richteten sich an Benutzer mit alten und ungepatchten Versionen von Adobe Flash und Internet Explorer. Tatsächlich waren fast 75% der über Angler bereitgestellten Exploits im Zusammenhang mit Adobe Flash.

Talos erwähnte, dass Angler auch verwendet wurde, um verschiedene Arten von Angriffen zu verteilen. Sie identifizierten ein Tool namens Bedep Downloader, bei dem es sich um Malware handelt, die zusätzliche Nutzlasten liefert, sowie um Malware, die bei Klickbetrug und einigen Fällen von Keyloggern verwendet wird.

Der Takedown

Die Angler-Infrastruktur verwendet eine Proxy-Server-Konfiguration. Die bösartige Aktivität wird von einem einzigen Exploit-Server über mehrere Proxyserver bereitgestellt. Die Opfer kommunizieren mit den Proxy-Servern, und nicht direkt mit dem Exploit-Server, mit der Fähigkeit, die Kommunikation über verschiedene Proxys zu routen. Dieser Ansatz erschwert Untersuchungen und schützt so die Infrastruktur. Es gibt auch einen Integritätsüberwachungsserver, der Integritätsprüfungen durchführt und Informationen zu den Zielcomputern sammelt.

Angler-Datenfluss

Quelle: https://blog.opendns.com/

Während ihrer Untersuchung stellte Talos fest, dass ein großer Prozentsatz infizierter Endbenutzer eine Verbindung zu Servern herstellte, die durch den Dienstleister Limestone Networks, der sich bereit erklärte, mit Talos zusammenzuarbeiten, um die Infrastruktur abzubauen. Durch ihre Untersuchung fanden sie einen einzigen „Bedrohungsakteur“, der bis zu 90k Endbenutzer pro Tag anvisierte. Sie identifizierten einen einzelnen Gesundheitsserver, der 147 Proxyserver über einen Monat überwachte.

Talos hat die identifizierten Domänen versenkt (die Domäne auf eine kontrollierte IP umgeleitet) und die Proxyserver heruntergefahren. In Zusammenarbeit mit Limestone Networks erhielten sie Live-Disk-Images der relevanten Server, die es ihnen ermöglichten, die zugrunde liegende Infrastruktur besser zu verstehen.

Während der gesamten Operation spielte die Zusammenarbeit eine wesentliche Rolle. Ohne die Zusammenarbeit von Limestone Networks hätte Talos die Sichtbarkeit und den Zugang zur Infrastruktur sehr eingeschränkt. Dank der Zusammenarbeit mit den Threat Research Labs der Stufe 3 wurde ein zusätzlicher Einblick in die globalen Aktivitäten des Netzwerks gewährt. Darüber hinaus bot die Zusammenarbeit mit OpenDNS Talos einen umfassenden Einblick in die mit den Angriffen verbundenen Domänenaktivitäten. OpenDNS schrieb auch einen interessanten Blogeintrag über den Takedown.

Die Zahlen

Der Gesundheitsserver war entscheidend für das Verständnis des Ausmaßes der Kampagne und ermöglichte es Talos, einen realistischen monetären Wert auf die Operation zu legen. Diese einzelne Operation war für ungefähr die Hälfte der Angleraktivität verantwortlich und wurde geschätzt, um $ 30M jährlich von Ransomware-Infektionen allein zu erzeugen, was bedeuten würde, dass der volle Umfang der Angleraktivität leicht mehr als $ 60M jährlich erzeugen könnte.

15.000 einzigartige Websites haben das Exploit-Kit an ahnungslose Besucher weitergegeben, wobei mehr als 60 Prozent der Infektionen entweder CryptoWall 3 lieferten.0 oder TeslaCrypt 2.0 Ransomware. Interessanterweise bemerkte Talos, dass mehrere Nachruf-Webseiten ins Visier genommen wurden. Sie glauben, dass dies getan wurde, um ältere Menschen anzusprechen, die eher ungepatchte Software verwenden und IE verwenden, den Standardbrowser für Windows-Betriebssysteme. Auch Senioren sind bekanntermaßen anfällig für Ransomware. Laut einer Studie des Stanford Center on Longevity und der FINRA Investor Education Foundation haben Menschen ab 65 Jahren in den USA mit 34% höherer Wahrscheinlichkeit Geld bei einem Finanzbetrug verloren als Menschen in ihren 40ern.

Die jährliche Umsatzschätzung in Höhe von 30 Millionen US-Dollar wurde anhand der folgenden Fakten, Schätzungen und Berechnungen ermittelt:

  • In 1 Tag hat Angler Server Exploits an 9000 eindeutige IP-Adressen ausgeliefert
  • 40% der Benutzer, die von Angler bedient werden, sind kompromittiert
  • Daher in 1 Tag Angler Server kompromittiert 3600
  • Health Server überwachte 147 Angler-Server über 1 Monat
  • Dies 529.000 Systeme über 1 Monat infiziert
  • 62% der Angler-Infektionen lieferten Ransomware
  • 2.9% der Opfer zahlten das Lösegeld (laut US-CERT unter Berufung auf eine Symantec-Studie)
  • Durchschnittliche Lösegeldforderung von $300
  • Dies führt zu $ 3 Millionen pro Monat
  • >$ 30M jährlich

Die obigen Zahlen sind Schätzungen, basieren jedoch auf realistischen Daten.

Fazit

Die Unterbrechung der Operation, die für die Hälfte der Aktivitäten von Angler kit verantwortlich ist, ist eine gute Nachricht, und alle Akteure dieser Operation verdienen Lob. Dieser Fall hat gezeigt, dass die Zusammenarbeit zwischen verschiedenen Akteuren mit ähnlichen Interessen einen langen Weg zurücklegen kann. Die richtige Mischung aus Faktoren wie Wissen, Ressourcen, Gerichtsbarkeit und strategischer Position kann äußerst vorteilhaft und wirkungsvoller sein als eine unabhängige Einheit, die alleine operiert.

About „Suggested Reading“ from ENISA

Mit der Reihe „Suggested Reading“ will die ENISA dem interessierten Leser eine Anleitung zu kontroversen und undurchschaubaren NIS-bezogenen Diskussionen geben, die in den Medien geführt werden, indem ausgewählte vorab überprüfte Artikel vorgeschlagen werden, die aus unserer Sicht das vorliegende Thema und die damit verbundenen Umstände auf vernünftige und verständliche Weise erläutern. Diese Ansicht leitet sich aus früheren Erfahrungen und gesundem Menschenverstand ab; In keiner Weise sollte „Vorgeschlagene Lektüre“ als empfohlene Vorgehensweise bei einem bestimmten Vorfall oder einer Untersuchung verstanden werden, oder eine endgültige Schlussfolgerung sein. Sie können sich gerne an die ENISA wenden, um weitere Informationen zur Reihe „Lesevorschläge“ zu besprechen oder zu erfragen ([email protected] ).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.