The playground

More information here

The Takedown of The Angler Exploit Kit

Innledning Angler exploit kit takedown Tallene Konklusjon Om «Foreslått Lesing» fra ENISA Innledning i oktober 2015 Talos, Ciscos Security Intelligence And Research Group, utgitt en uttalelse om hvordan De «slo et slag» til en gruppe nettkriminelle ved å forstyrre deres inntektsstrøm generert gjennom den beryktede Angler Exploit Kit. Ifølge Talos var takedown rettet mot en […]

Innledning

i oktober 2015 Talos, Ciscos Security Intelligence And Research Group, utgitt en uttalelse om hvordan De «slo et slag» til en gruppe nettkriminelle ved å forstyrre deres inntektsstrøm generert gjennom den beryktede Angler Exploit Kit. Ifølge Talos var takedown rettet mot en trussel skuespiller som var ansvarlig for nesten halvparten av Alle Angler Exploit Kit aktiviteter, og ble anslått å generere mer enn $30m årlig ved å skyve ransomware på intetanende ofre.The Angler exploit kit Har vært knyttet til flere ransomware kampanjer, inkludert den utbredte CryptoWall og TeslaCrypt, og er anerkjent som en av de mest avanserte utnytte kits på markedet. Betydningen av denne takedown var ikke bare på grunn av forstyrrelsen av nettkriminelle inntektsstrøm, men også på grunn Av nyttig informasjon Som Talos var i stand til å samle, analysere og formidle i sin detaljerte rapport. Som et resultat av denne operasjonen fikk samfunnet en sjelden mulighet til å se på infrastrukturen som kjører slike kampanjer. Denne informasjonen er viktig for sikkerhetsanalytikere og ingeniører som ønsker å beskytte sine systemer mot slike angrep.

Angler exploit kit

takedown ble administrert Av Cisco Systems ‘ Talos security unit, som undersøkte Angler Exploit kit. Angler er en av de mest sofistikerte utnytte kits tilgjengelig i svært konkurransedyktige underjordiske malware markedet. Det kan skryte av muligheten til å infisere anslagsvis 40% av de målrettede sluttbrukerne ved å utnytte sårbarheter i nettlesere og nettleserplugger. I noen tilfeller utnyttet settet zero-day sårbarheter. Talos presenterte en informativ video som forklarer Angler infrastruktur, og demonstrerer bruk av angler å kompromittere en maskin og installere ransomware.

Angler er kjent for å samle brukerinformasjon og tilpasse angrep basert på programvareversjonene som brukes. De fleste kampanjer er rettet mot brukere som kjører gamle og upatchede versjoner Av Adobe Flash og Internet Explorer. Faktisk var Nesten 75% av utnyttelsene som ble servert Gjennom Angler Adobe Flash-relatert.

Talos nevnte at Angler også ble brukt til å distribuere ulike typer angrep. De identifiserte et verktøy kjent som Bedep downloader, som er skadelig programvare som leverer ekstra nyttelaster, samt skadelig programvare som brukes i klikksvindel svindel og noen få forekomster av keyloggers.

takedown

Angler-infrastrukturen bruker en proxy-serverkonfigurasjon. Den ondsinnede aktiviteten serveres fra en enkelt utnyttelsesserver gjennom flere proxy-servere. Ofrene kommunisere med proxy-servere, og ikke direkte med utnytte serveren, med muligheten til å rute kommunikasjon gjennom ulike fullmakter. Denne tilnærmingen kompliserer undersøkelser og dermed beskytter infrastrukturen. Det er også en helseovervåkingsserver som utfører helsekontroller, og samler informasjon om målmaskinene.

angler dataflyt

Kilde: https://blog.opendns.com/

Under undersøkelsen så Talos at En stor prosentandel av infiserte ender ble smittet.brukere ble koble til servere som ble drevet av tjenesteleverandøren kalkstein networks, som ble enige om å samarbeide med talos for å ta ned infrastrukturen. Gjennom undersøkelsen fant de en enkelt «trusselaktør» som var rettet mot så mange som 90k sluttbrukere per dag. De identifiserte en enkelt helseserver som overvåket 147 proxy-servere i løpet av en måned.

Talos sinkholed (omdirigert domenet til en kontrollert IP) de identifiserte domenene og slå av proxy-serverne. I samarbeid Med Limestone Networks fikk De live diskbilder av de relevante serverne som tillot dem å bedre forstå den underliggende infrastrukturen.

gjennom hele operasjonen spilte samarbeid en viktig rolle. Uten Samarbeid Med Kalkstein nettverk, Talos ville ha hatt svært begrenset synlighet av, og tilgang til infrastrukturen. Ytterligere synlighet i den globale aktiviteten til nettverket ble gitt takket være samarbeidet Med Nivå 3 Threat Research Labs. I tillegg ga samarbeidet Med OpenDNS Talos med grundig synlighet i domeneaktiviteten knyttet til angrepene. OpenDNS skrev også et interessant blogginnlegg om takedown.

Tallene

helseserveren var kritisk i forståelsen av omfanget av kampanjen, Og tillot Talos å sette en realistisk pengeverdi på operasjonen. Denne ene operasjonen var ansvarlig for omtrent halvparten Av Angleraktiviteten og ble anslått å generere $30M årlig fra ransomware-infeksjoner alene, noe som ville innebære at Hele Omfanget Av Angleraktivitet lett kunne genereres mer ENN $ 60m årlig.15.000 unike nettsteder presset utnyttelsessettet til intetanende besøkende med mer enn 60 prosent av infeksjonene som leverer Enten CryptoWall 3.0 Eller TeslaCrypt 2.0 ransomware. Interessant, Talos merke til at flere nekrolog websider ble målrettet. De tror dette ble gjort som et middel for å målrette eldre, som er mer sannsynlig å bruke upatched programvare OG bruke IE som er standard Windows OS-nettleser. Også, pensjonister er kjent for å være utsatt for ransomware. Ifølge En studie utført Av Stanford Center On Longevity Og FINRA Investor Education Foundation, i USA, er folk i alderen 65 og over 34% mer sannsynlig å ha mistet penger på en økonomisk svindel enn folk i 40-årene.

$30m årlig inntektsestimat ble oppnådd ved hjelp av følgende fakta, estimater og beregninger:

  • På 1 dag serverte Angler server utnyttelser til 9000 unike IP-adresser
  • 40% av brukerne som ble servert utnytter Av Angler er kompromittert
  • derfor i 1 dag Angler server kompromitterer 3600
  • Helseserveren overvåket 147 Angler-servere over 1 måned
  • dette resulterer i 529.000 Systemer infisert OVER 1 MÅNED
  • 62% av angler infeksjoner levert ransomware
  • 2.9% av ofrene betalte løsepengene (IFØLGE US-CERT som siterer En Symantec-studie)
  • Gjennomsnittlig krav om løsepenger på $300
  • dette resulterer i $ 3 Millioner i måneden
  • > $ 30 MILLIONER årlig

tallene ovenfor er estimater, men de er basert på realistiske data.

Konklusjon

forstyrrelsen av operasjonen som er ansvarlig for halvparten Av Angler kit ‘ s aktivitet er gode nyheter, og alle aktører i denne operasjonen fortjener ros. Denne saken viste at samarbeid mellom ulike aktører med lignende interesser kan gå langt. Den rette blandingen av faktorer som kunnskap, ressurser, jurisdiksjon og strategisk posisjon kan være svært gunstig og mer virkningsfull enn en uavhengig enhet som opererer på egen hånd.

Om «Foreslått Lesing» fra ENISA

med» Foreslått Lesing » – serien tar ENISA sikte på å gi den interesserte leseren veiledning om kontroversielle OG uutgrunnelige nis-relaterte diskusjoner som utføres I Media, ved å foreslå utvalgte forhåndsvurderte artikler som etter vårt syn forklarer problemet ved hånden og relaterte omstendigheter på en rimelig og forståelig måte. Dette synet er avledet fra tidligere erfaringer og sunn fornuft; på ingen måte bør «Foreslått Lesing» forstås som anbefalt handlingsforløp i en bestemt hendelse eller undersøkelse, eller være en endelig konklusjon. Ta gjerne kontakt MED ENISA for å diskutere eller spørre mer informasjon til» Foreslått Lesing » – serien ([email protected]).

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.