The playground

More information here

The Takedown of the Angler Exploit Kit

BevezetésAngler exploit kit az Eltávolítás A számokkövetkeztetés A “javasolt olvasmány” az ENISA-tól Bevezetés 2015 októberében a Talos, a Cisco biztonsági Hírszerzési és kutatócsoportja kiadott egy nyilatkozatot arról, hogy miként “csaptak le” a kiberbűnözők egy csoportjára azáltal, hogy megzavarják a hírhedt Angler Exploit Kit által generált bevételi forrást. Szerint Talos, a takedown célzott fenyegetés színész volt […]

Bevezetés

2015 októberében a Talos, a Cisco biztonsági Hírszerzési és kutatócsoportja kiadott egy nyilatkozatot arról, hogy miként “csaptak le” a kiberbűnözők egy csoportjára azáltal, hogy megzavarják a hírhedt Angler Exploit Kit által generált bevételi forrást. Szerint Talos, a takedown célzott fenyegetés színész volt felelős majdnem fele az összes Angler Exploit Kit tevékenységét, és a becslések szerint több mint $30m évente nyomja ransomware rá gyanútlan áldozatok.

az Angler exploit kit számos ransomware kampányhoz kapcsolódik, köztük a széles körben elterjedt CryptoWall és TeslaCrypt, és széles körben elismert, mint az egyik legfejlettebb exploit készlet a piacon. Ennek az eltávolításnak a jelentősége nemcsak a kiberbűnözők bevételi forrásainak megzavarása miatt volt, hanem azért is, mert a Talos hasznos információkat tudott összegyűjteni, elemezni és terjeszteni részletes jelentésében. Ennek a műveletnek az eredményeként, a közösség ritka lehetőséget kapott arra, hogy belenézzen az ilyen kampányokat futtató infrastruktúrába. Ez az információ fontos a biztonsági elemzők és mérnökök számára, akik meg akarják védeni rendszereiket az ilyen támadásoktól.

Angler exploit kit

az eltávolítást a Cisco Systems Talos biztonsági egysége irányította, amely az Angler Exploit kit kutatását végezte. Az Angler az egyik legkifinomultabb kihasználó készlet, amely elérhető a rendkívül versenyképes földalatti rosszindulatú programok piacán. Büszkélkedhet azzal a képességgel, hogy sikeresen megfertőzi a megcélzott végfelhasználók becslések szerint 40% – át a böngészők és a böngésző bővítmények sebezhetőségének kihasználásával. Egyes esetekben a készlet kihasználta a nulla napos sebezhetőségeket. Talos bemutatott egy informatív videót, amely elmagyarázza az Angler infrastruktúráját, és bemutatja az angler használatát a gép veszélyeztetésére és a ransomware telepítésére.

az Angler köztudottan felhasználói információkat gyűjt, és testre szabja a támadásokat a használt szoftververziók alapján. A legtöbb kampány az Adobe Flash és az Internet Explorer régi és nem javított verzióit futtató felhasználókat célozta meg. Valójában az Angler által kiszolgált kihasználások csaknem 75% – a Adobe Flash-hez kapcsolódott.

Talos megemlítette, hogy az Angler-t különböző típusú támadások terjesztésére is használták. Azonosítottak egy Bedep downloader néven ismert eszközt, amely rosszindulatú program, amely további hasznos terheket szállít, valamint a kattintási csalásokban használt rosszindulatú programokat és néhány Keylogger-példányt.

az Eltávolítás

az Angler infrastruktúra proxy-szerver konfigurációt használ. A rosszindulatú tevékenységet egyetlen exploit szerverről szolgálják fel több proxykiszolgálón keresztül. Az áldozatok a proxy szerverekkel kommunikálnak, nem pedig közvetlenül az exploit szerverrel, azzal a képességgel, hogy a kommunikációt különböző proxykon keresztül irányítsák. Ez a megközelítés bonyolítja a vizsgálatokat, így védi az infrastruktúrát. Van egy állapotfigyelő szerver is, amely állapotellenőrzéseket végez, és információkat gyűjt a célgépekről.

horgász adatáramlás

forrás: https://blog.opendns.com/

vizsgálatuk során a Talos azt látta, hogy a fertőzött vég nagy százaléka a felhasználók csatlakoztak a szolgáltató által üzemeltetett szerverekhez mészkő hálózatok, aki beleegyezett abba, hogy együttműködik a talosszal az infrastruktúra lebontása érdekében. Vizsgálatuk során egyetlen “fenyegetési szereplőt” találtak, amely napi 90 ezer végfelhasználót célozott meg. Egyetlen egészségügyi szervert azonosítottak, amely egy hónap alatt 147 proxykiszolgálót figyelt.

Talos elsüllyesztette (átirányította a domaint egy ellenőrzött IP-re) az azonosított domaineket, és leállította a proxykiszolgálókat. A mészkő hálózatok együttműködésével élő lemezképeket szereztek a megfelelő szerverekről, amelyek lehetővé tették számukra, hogy jobban megértsék az alapul szolgáló infrastruktúrát.

a művelet során az együttműködés alapvető szerepet játszott. A Mészkőhálózatok együttműködése nélkül A Talos-nak nagyon korlátozott láthatósága és hozzáférése lett volna az infrastruktúrához. A hálózat globális tevékenységének további láthatóságát a Level 3 Threat Research Labs-szal való együttműködésnek köszönhetően biztosították. Ezenkívül az OpenDNS-szel való együttműködés mélyreható láthatóságot biztosított a Talos számára a támadásokkal kapcsolatos domain-tevékenységben. Az OpenDNS érdekes blogbejegyzést is írt az eltávolításról.

A számok

az egészségügyi szerver kritikus volt a kampány mértékének megértésében, és lehetővé tette Talos számára, hogy reális pénzbeli értéket adjon a műveletnek. Ez az egyetlen művelet volt felelős körülbelül a fele a horgász tevékenység, és a becslések szerint generál $30m évente ransomware fertőzések egyedül, ami azt jelentené, hogy a teljes körű horgász tevékenység könnyen generált több mint $60m évente.

15.000 egyedi oldalak tolta a exploit kit a gyanútlan látogatók több mint 60 százaléka a fertőzések nyilvánított vagy CryptoWall 3.0 vagy TeslaCrypt 2.0 ransomware. Érdekes módon Talos észrevette, hogy több nekrológ weboldalt céloztak meg. Úgy vélik, hogy ez azért történt, hogy megcélozzák az időseket, akik nagyobb valószínűséggel használják a javítatlan szoftvert és az IE-t, amely az alapértelmezett Windows operációs rendszer böngésző. Is, idősek ismert, hogy fogékonyak a ransomware. A Stanford Center on Longevity és a FINRA Investor Education Foundation által készített tanulmány szerint az Egyesült Államokban a 65 éves vagy annál idősebb emberek 34% – kal nagyobb valószínűséggel veszítenek pénzt pénzügyi csalás miatt, mint a 40 év körüli emberek.

a 30 millió dolláros éves bevételi becslést a következő tények, becslések és számítások felhasználásával nyertük:

  • 1 nap alatt az Angler server 9000 egyedi IP-címre szolgált kihasználásokat
  • az Angler által kiszolgált felhasználók 40% – a sérült
  • ezért 1 nap alatt az Angler server 3600 kompromisszumot kötött
  • az egészségügyi szerver 147 horgász szervert figyelt 1 hónap alatt
  • ez körülbelül 529.000 rendszerek fertőzött több mint 1 hónap
  • 62% – a angler fertőzések szállított ransomware
  • 2.Az áldozatok 9% – a fizetett váltságdíjat (az US-CERT szerint egy Symantec tanulmányt idézve)
  • átlagos váltságdíjigény 300 dollár
  • ez havi 3 millió dollárt eredményez
  • > évente 30 millió dollár

a fenti számok becslések, azonban reális adatokon alapulnak.

következtetés

a horgász készlet tevékenységének feléért felelős művelet megszakadása jó hír, és a művelet minden szereplője dicséretet érdemel. Ez az eset bebizonyította, hogy a hasonló érdekű szereplők közötti együttműködés hosszú utat tehet meg. Az olyan tényezők megfelelő kombinációja, mint a tudás, az erőforrások, a joghatóság és a stratégiai pozíció, rendkívül előnyös és hatásosabb lehet, mint egy önállóan működő független entitás.

A “javasolt olvasmány” az ENISA-tól

A “javasolt olvasmány” sorozattal az ENISA célja, hogy útmutatást adjon az érdeklődő olvasónak a médiában folytatott ellentmondásos és kifürkészhetetlen NIS-sel kapcsolatos vitákhoz, olyan kiválasztott, előzetesen áttekintett cikkek ajánlásával, amelyek véleményünk szerint ésszerű és érthető módon magyarázzák meg a szóban forgó kérdést és a kapcsolódó körülményeket. Ez a nézet a múltbeli tapasztalatokból és a józan észből származik; semmilyen módon nem szabad a” javasolt olvasatot ” úgy értelmezni, mint egy adott esemény vagy vizsgálat ajánlott eljárását, vagy végső következtetést. Nyugodtan vegye fel a kapcsolatot az ENISA-val, hogy megvitassa vagy érdeklődjön további információkról a “javasolt olvasás” sorozathoz ([email protected]).

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.