The playground

More information here

The Takedown of The Angler Exploit Kit

IntroductionAngler exploit kittakedown numerotjohtopäätös ENISAn ”ehdotetusta lukemisesta” Introduction lokakuussa 2015 Talos, Ciscon Security Intelligence and Research Group, julkaisi lausunnon siitä, miten he ”iskivät” ryhmälle verkkorikollisia häiritsemällä heidän tulovirtaansa, joka syntyi pahamaineisen Angler Exploit Kit ’ n kautta. Talosin mukaan alasajo kohdistui uhkaustoimijaan, joka oli vastuussa lähes puolesta kaikista Angler Exploit Kitin toimista, ja sen arvioitiin […]

Introduction

lokakuussa 2015 Talos, Ciscon Security Intelligence and Research Group, julkaisi lausunnon siitä, miten he ”iskivät” ryhmälle verkkorikollisia häiritsemällä heidän tulovirtaansa, joka syntyi pahamaineisen Angler Exploit Kit ’ n kautta. Talosin mukaan alasajo kohdistui uhkaustoimijaan, joka oli vastuussa lähes puolesta kaikista Angler Exploit Kitin toimista, ja sen arvioitiin tuottavan yli 30 miljoonaa dollaria vuosittain työntämällä ransomware-kiristysohjelmaa pahaa aavistamattomille uhreille.

Angler exploit kit on yhdistetty useisiin ransomware-kampanjoihin, mukaan lukien laajalle levinneet CryptoWall ja TeslaCrypt, ja sitä pidetään yleisesti yhtenä markkinoiden edistyneimmistä exploit-paketeista. Alasajon merkitys ei johtunut pelkästään verkkorikollisten tulovirran häiriintymisestä, vaan myös hyödyllisestä tiedosta, jota Talos pystyi keräämään, analysoimaan ja levittämään yksityiskohtaiseen raporttiinsa. Tämän operaation seurauksena yhteisö sai harvinaisen tilaisuuden tutustua infrastruktuuriin, joka pyörittää tällaisia kampanjoita. Nämä tiedot ovat tärkeitä tietoturva-analyytikoille ja insinööreille, jotka haluavat suojella järjestelmiään tällaisilta hyökkäyksiltä.

Angler exploit kit

takedownia hallinnoi Cisco Systemsin Talos security unit, joka tutki Angler Exploit kitiä. Angler on yksi kehittyneimmistä hyödyntää sarjat saatavilla erittäin kilpailukykyinen maanalainen haittaohjelmia markkinoilla. Se ylpeilee kyvyllä tartuttaa onnistuneesti arviolta 40% kohdekäyttäjistä käyttämällä hyväksi haavoittuvuuksia selaimissa ja selaimen lisäosissa. Joissakin tapauksissa pakki käytti hyväkseen nollapäivän haavoittuvuuksia. Talos esitteli informatiivisen videon, jossa kerrotaan Anglerin infrastruktuurista ja osoitetaan anglerin käyttö Koneen vaarantamiseen ja ransomware-ohjelman asentamiseen.

Anglerin tiedetään keräävän käyttäjätietoja ja räätälöivän hyökkäyksiä käytössä olevien ohjelmistoversioiden perusteella. Useimmat kampanjat kohdistuivat käyttäjiin, jotka ajoivat Adobe Flashin ja Internet Explorerin vanhoja ja julkaisemattomia versioita. Itse asiassa, lähes 75% hyödyntää tarjoillaan kautta Angler olivat Adobe Flash liittyvät.

Talos mainitsi, että Angleria käytettiin myös erilaisten hyökkäysten levittämiseen. He tunnistivat työkalun nimeltä Bedep downloader, joka on haittaohjelmia, jotka toimittavat lisää hyötykuormia, sekä haittaohjelmia, joita käytetään click fraud-huijauksissa ja muutamissa Keylogger-tapauksissa.

takedown

Anglerin infrastruktuuri käyttää välityspalvelinkonfiguraatiota. Haitallinen toiminta tarjoillaan yhdestä exploit-palvelimesta useiden välityspalvelimien kautta. Uhrit kommunikoivat välityspalvelimien kanssa, eivätkä suoraan exploit-palvelimen kanssa, jolla on kyky reitittää viestintää eri valtakirjojen kautta. Tämä lähestymistapa vaikeuttaa tutkimuksia ja suojaa siten infrastruktuuria. On myös terveyden seurantapalvelin, joka tekee terveystarkastuksia, ja kerää tietoa kohdekoneista.

Angler data flow

Source: https://blog.opendns.com/

tutkimuksensa aikana Talos näki, että suuri osa tartunnan saaneista lopetti käyttäjät olivat yhteydessä palvelimiin, joita ylläpiti palveluntarjoaja limestone Networks, joka suostui yhteistyöhön Talosin kanssa infrastruktuurin purkamiseksi. Tutkimuksensa kautta he löysivät yhden ”uhkatekijän”, joka kohdistui jopa 90k: n loppukäyttäjiin päivässä. He tunnistivat yhden terveyspalvelimen, joka tarkkaili 147 välityspalvelinta kuukauden aikana.

Talos sinkholed (ohjasi verkkotunnuksen valvotulle IP: lle) tunnistetut verkkotunnukset ja sulki välityspalvelimet. Kalkkikiviverkostojen avulla he saivat live-levykuvia kyseisistä palvelimista, joiden avulla he pystyivät paremmin ymmärtämään taustalla olevaa infrastruktuuria.

koko operaation ajan yhteistyö oli keskeisessä roolissa. Ilman Kalkkikiviverkostojen yhteistyötä taloksella olisi ollut hyvin rajallinen näkyvyys ja pääsy infrastruktuuriin. Verkoston maailmanlaajuiseen toimintaan saatiin lisänäkyvyyttä yhteistyössä Level 3 Threat Research Labs: n kanssa. Lisäksi yhteistyö Opendnien kanssa antoi Talosille syvällisen näkyvyyden hyökkäyksiin liittyvään domain-toimintaan. OpenDNS kirjoitti myös mielenkiintoisen blogikirjoituksen taklauksesta.

numerot

terveyspalvelin suhtautui kriittisesti kampanjan laajuuden ymmärtämiseen ja antoi Talokselle mahdollisuuden asettaa operaatiolle realistinen rahallinen arvo. Tämä yksittäinen toiminto oli vastuussa noin puolesta Anglerin toiminnasta ja sen arvioitiin tuottavan $30m vuodessa pelkästään ransomware-viruksista, mikä merkitsisi sitä, että koko Angler-toiminnan laajuus voisi helposti tuottaa yli $60M vuodessa.

15.000 ainutlaatuisia sivustoja työnsi exploit kit hyväuskoisille vierailijoille yli 60 prosenttia tartunnoista tuottaa joko CryptoWall 3.0 tai TeslaCrypt 2.0 ransomware. Kiinnostavaa Talos huomasi, että kohteena oli useita kuolinilmoituksia. He uskovat, että tämä tehtiin keinona kohdistaa vanhukset, jotka ovat todennäköisemmin käyttää unpatched ohjelmisto ja käyttää IE, joka on oletuksena Windows OS-selain. Myös eläkeläisten tiedetään olevan alttiita kiristyshaittaohjelmille. Stanford Center on Longevity-tutkimuslaitoksen ja FINRA Investor Education Foundationin tekemän tutkimuksen mukaan Yhdysvalloissa 65-vuotiaat ja sitä vanhemmat ovat 34 prosenttia todennäköisemmin menettäneet rahaa rahoitushuijauksessa kuin nelikymppiset.

the $30m annual revenue estimate was obtained the following facts, estimates, and calculations:

  • in 1 day, Angler server served exploits to 9000 unique IP-osoitteet
  • 40% users being served exploits by Angler are Trouble
  • Therefore in 1 day Angler server compromises 3600
  • Health server was monitoring 147 Angler server over 1 month
  • tämä johtaa noin 529 000 järjestelmää saanut tartunnan 1 kuukauden aikana
  • 62% angler-tartunnoista toimitti ransomware
  • 2.9% uhreista maksoi lunnaat (US-Certin mukaan Symantecin tutkimusta lainaten)
  • Keskimääräinen lunnasvaatimus 300 dollaria
  • tämä johtaa 3 miljoonaan dollariin kuukaudessa
  • >30 miljoonaa dollaria vuodessa

edellä mainitut luvut ovat arvioita, mutta ne perustuvat realistisiin tietoihin.

johtopäätös

puolet Angler Kitin toiminnasta vastuussa olevan operaation häiriintyminen on hyvä uutinen, ja kaikki tämän operaation toimijat ansaitsevat kiitoksen. Tapaus osoitti, että yhteistyö eri toimijoiden välillä, joilla on samanlaiset intressit, voi viedä pitkälle. Oikea yhdistelmä tekijöitä, kuten tieto, resurssit, toimivalta, ja strateginen asema voi olla erittäin hyödyllinen ja vaikuttavampi kuin itsenäinen yksikkö, joka toimii yksin.

ENISAn ”ehdotetusta lukemisesta”

”ehdotetusta lukemisesta”-sarjassa ENISA pyrkii antamaan kiinnostuneelle lukijalle ohjeita kiistanalaisista ja tutkimattomista uusiin itsenäisiin valtioihin liittyvistä keskusteluista, joita käydään mediassa, ehdottamalla valikoituja ennakkoon tarkistettuja artikkeleita, jotka mielestämme selittävät käsillä olevan asian ja siihen liittyvät olosuhteet järkevällä ja ymmärrettävällä tavalla. Tämä näkemys on peräisin aiemmista kokemuksista ja maalaisjärjestä; ”ehdotettua lukemista” ei missään tapauksessa pidä ymmärtää suositeltuna toimintatapana tietyssä tapauksessa tai tutkimuksessa eikä lopullisena johtopäätöksenä. Voit vapaasti ottaa yhteyttä ENISAAN keskustellaksesi tai tiedustellaksesi lisätietoja ”ehdotettu lukeminen” – kirjoitussarjaan ([email protected]).

Vastaa

Sähköpostiosoitettasi ei julkaista.