The playground

More information here

The Takedown of The Angler Exploit Kit

IntroductionAngler exploit kitテイクダウンThe Numbers結論ENISAからの”提案された読書”について Introduction 2015年、シスコのセキュリ […]

Introduction

2015年、シスコのセキュリティインテリジェンスと研究グループであるTalosは、悪名高いAngler Exploit Kitによって生成された収益ストリームを破壊することによって、サイバー犯罪者のグループにどのように”打撃を与えた”かについての声明を発表した。 Talosによると、テイクダウンは、すべてのAngler Exploit Kitの活動のほぼ半分を担当していた脅威俳優をターゲットにしており、疑うことを知らない犠牲者にランサムウェアを押し込むことによって年間30M以上を生成すると推定されていた。

Angler exploit kitは、広範なCryptoWallやTeslaCryptを含むいくつかのランサムウェアキャンペーンにリンクされており、市場で最も先進的なエクスプロイトキットの一つとして広く認識されています。 このテイクダウンの重要性は、サイバー犯罪者の収益源の混乱によるだけでなく、Talosが詳細なレポートで収集、分析、普及することができた有用な情報のた この操作の結果、コミュニティは、これらの種類のキャンペーンを実行しているインフラストラクチャを内部で見る貴重な機会を得ました。 この情報は、このような攻撃からシステムを保護したいセキュリティアナリストやエンジニアにとって重要です。

Angler exploit kit

テイクダウンは、Angler Exploit kitを研究していたCisco SystemsのTalosセキュリティユニットによって管理されました。 アングラーは、競争の激しい地下マルウェア市場で利用可能な最も洗練されたエクスプロイトキットの一つです。 これは、ブラウザやブラウザプラグインの脆弱性を悪用して、ターゲットとなるエンドユーザーの推定40%に正常に感染する能力を誇っています。 いくつかのケースでは、キットはゼロデイの脆弱性を悪用しました。 Talos氏は、Anglerのインフラストラクチャを説明する有益なビデオを発表し、anglerを使用してマシンを侵害し、ランサムウェアをインストールすることを示し

Anglerは、ユーザー情報を収集し、使用されているソフトウェアのバージョンに基づいて攻撃をカスタマイズすることが知られています。 ほとんどのキャンペーンは、Adobe FlashとInternet Explorerの古いバージョンとパッチの適用されていないバージ 実際には、アングラーを介して提供悪用のほぼ75%は、Adobe Flash関連していました。

タロスは、アングラーはまた、攻撃の異なるタイプを配布するために使用されていたことを述べました。 彼らは、追加のペイロードを提供するマルウェアであるBedep downloaderとして知られるツールと、クリック詐欺詐欺やキーロガーのいくつかのインスタンスで使用されるマルウェアを特定しました。

テイクダウン

アングラーインフラストラクチャは、プロキシサーバー構成を使用します。 悪意のあるアクティビティは、単一のエクスプロイトサーバーから複数のプロキシサーバーを介して提供されます。 被害者は、異なるプロキシを介して通信をルーティングする能力を持つ、エクスプロイトサーバーと直接ではなく、プロキシサーバーと通信します。 このアプローチは調査を複雑にし、インフラストラクチャを保護します。 また、ヘルスチェックを実行し、ターゲットマシンに関する情報を収集するヘルス監視サーバーもあります。

アングラーデータフロー

https://blog.opendns.com/

彼らの調査中、Talosは、感染したエンドユーザーの大部分がインフラストラクチャをダウンさせるためにtalosと協力することに合意したサービスプロバイダー石灰石ネットワークス、による。 彼らの調査を通じて、彼らは一日あたり90kのエンドユーザーをターゲットにしていた単一の”脅威の俳優”を発見しました。 彼らは、月のスパンで147のプロキシサーバーを監視していた単一の正常性サーバーを特定しました。

Talosは、識別されたドメインをシンクホール(ドメインを制御されたIPにリダイレクト)し、プロキシサーバーをシャットダウンします。 石灰石ネットワークの協力により、彼らは彼らがより良い基礎となるインフラストラクチャを理解することを可能にし、関連するサーバのライブディスクイメージを取得しました。

操作を通じて、コラボレーションが不可欠な役割を果たしました。 石灰岩のネットワークの協力がなければ、Talosは非常に限られた可視性とインフラへのアクセスを持っていたでしょう。 ネットワークのグローバルな活動へのさらなる可視性は、レベル3脅威研究所との協力のおかげで提供されました。 さらに、OpenDNSとのコラボレーションにより、Talosは攻撃に関連するドメインアクティビティを詳細に可視化できました。 OpenDNSはまた、テイクダウンについての興味深いブログエントリを書いた。

The Numbers

ヘルスサーバーはキャンペーンの規模を理解する上で重要であり、Talosが現実的な金銭的価値を操作に置くことを可能にしました。 この単一の操作は釣り人の活動のおよそ半分に責任があり、ransomwareの伝染だけからのannually30Mを毎年発生させると推定された釣り人の活動の完全な規模が容易により多くのannually60Mを毎年発生させることができることを意味する。

15.000ユニークなサイトは、CryptoWall3のいずれかを提供する感染の60%以上で、疑うことを知らない訪問者にエクスプロイトキットをプッシュしました。0またはTeslaCrypt2.0ランサムウェア。 興味深いことに、Talosはいくつかの死亡記事のwebページが標的とされたことに気づいた。 彼らは、これがパッチの適用されていないソフトウェアを使用し、デフォルトのWindows OSブラウザであるIEを使用する可能性が高い高齢者を対象とする手段として行われたと考えている。 また、高齢者はランサムウェアの影響を受けやすいことが知られています。 スタンフォード長寿センターとFINRA投資家教育財団が実施した調査によると、米国では、65歳以上の人々は、40代の人々よりも金融詐欺でお金を失った可能性が34%

annual30Mの年間収益の見積もりは、次の事実、見積もり、および計算を使用して得られました。

  • 1日で、Anglerサーバーは9000の一意のIPアドレスに悪用を提供しました
  • 40%のユーザーが不正に悪用されています
  • 1日でAnglerサーバーは3600を侵害しています
  • ヘルスサーバーは147のAnglerサーバーを1ヶ月にわたって監視していました
  • これにより、約100%のユーザーが不正に悪用されています
  • 529.000システムが1ヶ月以上感染しました
  • アングラー感染の62%がランサムウェアを提供しました
  • 2。被害者の9%が身代金を支払った(シマンテックの調査を引用するUS-CERTによると)
  • 平均身代金需要300ドル
  • これは月に3万ドル
  • >年間30Mドル

上記の数字は推定値ですが、現実的なデータに基づいています。

結論

アングラーキットの活動の半分を担当する操作の中断は良いニュースであり、この操作のすべての俳優は賞賛に値する。 このケースは、同様の利益を持つ異なる俳優の間の協力が長い道のりを行くことができることを実証しました。 知識、資源、管轄権、戦略的地位などの要因の適切な組み合わせは、独立した事業体が単独で運営するよりも非常に有益で、より影響力があります。

ENISAからの”提案された読書”について

“提案された読書”シリーズでENISAは、私たちの見解では、合理的かつ理解しやすい方法で手元の問題と関連する状況を説明する選択された事前審査された記事を提案することによって、メディアで行われている物議を醸すと不可解なNIS関連の議論に興味のある読者のガイダンスを与えることを目的としています。 この見解は過去の経験と常識から派生したものであり、決して”推奨される読書”は、特定の事件や調査における推奨される行動のコース、または最終的な結論であると理解されるべきではありません。 “おすすめ読書”シリーズ([email protected])。

コメントを残す

メールアドレスが公開されることはありません。