The playground

More information here

de Takedown van de Angler Exploit Kit

introductieAngler exploit kitde takedown de getallenconclusie over “Suggested Reading” van ENISA introductie in oktober 2015 Talos, Cisco ’s Security Intelligence and Research Group, bracht een verklaring over hoe ze” sloeg een klap “aan een groep van cybercriminelen door het verstoren van hun inkomstenstroom gegenereerd door de beruchte Angler Exploit Kit’ s. Volgens Talos, de takedown […]

introductie

in oktober 2015 Talos, Cisco ’s Security Intelligence and Research Group, bracht een verklaring over hoe ze” sloeg een klap “aan een groep van cybercriminelen door het verstoren van hun inkomstenstroom gegenereerd door de beruchte Angler Exploit Kit’ s. Volgens Talos, de takedown was gericht op een bedreiging acteur die verantwoordelijk was voor bijna de helft van alle Angler Exploit activiteiten Kit, en werd geschat op meer dan genereren $30M per jaar door het duwen van ransomware op nietsvermoedende slachtoffers.

De Angler exploit kit is gekoppeld aan verschillende ransomware campagnes, waaronder de wijdverspreide CryptoWall en TeslaCrypt, en wordt algemeen erkend als een van de meest geavanceerde exploit kits op de markt. Het belang van deze takedown was niet alleen te wijten aan de verstoring van de inkomstenstroom van de cybercriminelen’, maar ook vanwege nuttige informatie die Talos waren in staat om te verzamelen, analyseren, en verspreiden in hun gedetailleerde rapport. Als gevolg van deze operatie kreeg de Gemeenschap een zeldzame kans om een kijkje te nemen in de infrastructuur die dit soort campagnes uitvoert. Deze informatie is belangrijk voor veiligheidsanalisten en ingenieurs die hun systemen tegen dergelijke aanvallen willen beschermen.

Angler exploit kit

De takedown werd beheerd door Talos security unit van Cisco Systems, die onderzoek deed naar de Angler Exploit kit. Angler is een van de meest geavanceerde exploit kits beschikbaar in de zeer concurrerende ondergrondse malware markt. Het beschikt over de mogelijkheid om met succes te infecteren een geschatte 40% van de beoogde eindgebruikers door gebruik te maken van kwetsbaarheden in browsers en browser plugins. In sommige gevallen de kit benut zero-day kwetsbaarheden. Talos presenteerde een informatieve video waarin de infrastructuur van Angler wordt uitgelegd, en toont het gebruik van angler om een machine in gevaar te brengen en ransomware te installeren.het is bekend dat

Angler gebruikersinformatie verzamelt en aanvallen aanpast op basis van de gebruikte softwareversies. De meeste campagnes gericht gebruikers met oude en ongepatchte versies van Adobe Flash en Internet Explorer. In feite, bijna 75% van de exploits geserveerd via Angler waren Adobe Flash gerelateerd.

Talos vermeldde dat Angler ook werd gebruikt om verschillende soorten aanvallen te verspreiden. Ze identificeerden een tool bekend als de Bedep downloader, dat is malware die extra payloads levert, evenals malware gebruikt in klikfraude oplichting en een paar gevallen van keyloggers.

de takedown

De Angler-infrastructuur gebruikt een proxy-server-configuratie. De kwaadaardige activiteit wordt geserveerd vanaf een enkele exploit server via meerdere proxy servers. De slachtoffers communiceren met de proxy servers, en niet direct met de exploit server, met de mogelijkheid om de communicatie route via verschillende proxies. Deze aanpak bemoeilijkt het onderzoek en beschermt de infrastructuur. Er is ook een server voor gezondheidsmonitoring die gezondheidscontroles uitvoert en informatie verzamelt over de doelmachines.

Visser data flow

Bron: https://blog.opendns.com/

Tijdens hun onderzoek, Talos zag dat een groot percentage van de besmette eindgebruikers het verbinden met servers die werden beheerd door de service provider Kalksteen Netwerken, die is overeengekomen om samen te werken met Talos om te nemen van de infrastructuur. Door hun onderzoek, ze vonden een enkele “bedreiging actor” die was gericht op maar liefst 90k eindgebruikers per dag. Ze identificeerden één gezondheidsserver die 147 proxyservers in de loop van een maand in de gaten hield.

Talos sinkholed (redirected the domain to a controlled IP) the identified domains and shut down the proxy servers. Met de medewerking van kalksteen netwerken, ze verkregen live disk images van de relevante servers die hen in staat gesteld om de onderliggende infrastructuur beter te begrijpen.

gedurende de hele operatie speelde samenwerking een essentiële rol. Zonder de medewerking van Kalksteennetwerken zou Talos een zeer beperkte zichtbaarheid en toegang tot de infrastructuur hebben gehad. Extra zichtbaarheid in de wereldwijde activiteit van het netwerk werd geboden dankzij hun samenwerking met Level 3 Threat Research Labs. Bovendien gaf de samenwerking met OpenDNS Talos een diepgaand inzicht in de domeinactiviteit die met de aanvallen gepaard ging. OpenDNS schreef ook een interessante blog over de takedown.

de getallen

De gezondheidsserver was cruciaal voor het begrijpen van de schaal van de campagne, en liet Talos toe om een realistische monetaire waarde aan de operatie te geven. Deze enkele operatie was verantwoordelijk voor ongeveer de helft van de Angler activiteit en werd geschat op het genereren van $30M per jaar uit ransomware infecties alleen, wat zou betekenen dat de volledige omvang van de Angler activiteit gemakkelijk kon gegenereerd meer dan $60M per jaar.

15.000 unieke sites duwde de exploit kit om nietsvermoedende bezoekers met meer dan 60 procent van de infecties leveren ofwel CryptoWall 3.0 of TeslaCrypt 2.0 ransomware. Interessant, Talos merkte dat verschillende overlijdensberichten webpagina ‘ s waren gericht. Zij geloven dat dit werd gedaan als een middel om de ouderen, die meer kans om ongepatchte software te gebruiken en IE gebruiken dat is de standaard Windows OS browser. Ook, senioren zijn bekend dat gevoelig zijn voor ransomware te zijn. Volgens een studie uitgevoerd door het Stanford Center on Longevity en de FINRA Investor Education Foundation, in de VS, mensen van 65 jaar en ouder zijn 34% meer kans om geld te hebben verloren op een financiële zwendel dan mensen in hun veertiger.

De $30M jaarlijkse omzet schatting is verkregen met behulp van de volgende feiten, schattingen en berekeningen uitvoeren:

  • In 1 dag, Visser server geserveerd exploits te 9000 unieke IP adressen
  • 40% van de gebruikers wordt geserveerd exploits door Visser zijn aangetast
  • Dus in 1 dag Visser server compromissen 3600
  • Health server monitoring 147 Visser servers over 1 maand
  • Dit resulteert in ongeveer 529.000 systemen besmet dan 1 maand
  • 62% van de Visser infecties geleverd Ransomware
  • 2.9% van de slachtoffers betaalde het losgeld (volgens US-CERT met vermelding van een Symantec-studie)
  • gemiddelde losgeld vraag van $300
  • Dit resulteert in $3 miljoen per maand
  • >$30M per jaar

de bovenstaande cijfers zijn schattingen, maar ze zijn gebaseerd op realistische gegevens.

conclusie

de verstoring van de operatie die verantwoordelijk is voor de helft van de activiteit van Angler kit is goed nieuws, en alle actoren in deze operatie verdienen lof. Deze zaak toonde aan dat samenwerking tussen verschillende actoren met vergelijkbare belangen een lange weg kan gaan. De juiste mix van factoren zoals kennis, middelen, jurisdictie en strategische positie kan uiterst voordelig en meer impact hebben dan een onafhankelijke entiteit die op zichzelf opereert.

over “Suggested Reading” van ENISA

met de “Suggested Reading”-serie beoogt ENISA de geïnteresseerde lezer richtsnoeren te geven over controversiële en ondoorgrondelijke discussies in verband met NIS die in de Media worden gevoerd, door geselecteerde, vooraf herziene artikelen voor te stellen die naar onze mening het betreffende probleem en de daarmee verband houdende omstandigheden op een redelijke en begrijpelijke manier uitleggen. Deze visie is afgeleid van ervaringen uit het verleden en gezond verstand; op geen enkele manier mag “voorgestelde lezing” worden opgevat als aanbevolen werkwijze in een specifiek incident of onderzoek, of als een definitieve conclusie. Neem gerust contact op met ENISA om meer informatie te bespreken of te vragen over de “Suggested Reading” – serie ([email protected]).

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.