The playground

More information here

The Takedown of the Angler Exploit Kit

wprowadzenie Angler exploit kit the takedown liczby podsumowanie o „sugerowanym czytaniu” z ENISA wprowadzenie w październiku 2015 r.Talos, Grupa analityków ds. bezpieczeństwa i grupa badawcza Cisco, opublikowała oświadczenie na temat tego, w jaki sposób „zadali cios” grupie cyberprzestępców, zakłócając ich strumień przychodów generowany przez notoryczny Angler Exploit Kit. Według firmy Talos, atak był wymierzony w […]

wprowadzenie

w październiku 2015 r.Talos, Grupa analityków ds. bezpieczeństwa i grupa badawcza Cisco, opublikowała oświadczenie na temat tego, w jaki sposób „zadali cios” grupie cyberprzestępców, zakłócając ich strumień przychodów generowany przez notoryczny Angler Exploit Kit. Według firmy Talos, atak był wymierzony w aktora zagrożenia, który był odpowiedzialny za prawie połowę wszystkich działań Angler Exploit Kit, i oszacowano, że generuje ponad 30 milionów dolarów rocznie, naciskając oprogramowanie ransomware na niczego niczego nie podejrzewające ofiary.

Angler exploit kit został powiązany z kilkoma kampaniami ransomware, w tym szeroko rozpowszechnionymi CryptoWall i TeslaCrypt, i jest powszechnie uznawany za jeden z najbardziej zaawansowanych zestawów exploit na rynku. Znaczenie tego usunięcia było spowodowane nie tylko zakłóceniem strumienia dochodów cyberprzestępców, ale także przydatnymi informacjami, które firma Talos była w stanie zebrać, przeanalizować i rozpowszechnić w swoim szczegółowym raporcie. W wyniku tej operacji społeczność miała rzadką okazję przyjrzeć się infrastrukturze prowadzącej tego rodzaju kampanie. Informacje te są ważne dla analityków i inżynierów bezpieczeństwa, którzy chcą chronić swoje systemy przed takimi atakami.

Angler exploit kit

takedown był zarządzany przez jednostkę bezpieczeństwa Talos Cisco Systems, która badała zestaw Angler Exploit kit. Angler jest jednym z najbardziej zaawansowanych zestawów exploit dostępnych na wysoce konkurencyjnym podziemnym rynku złośliwego oprogramowania. Oferuje możliwość skutecznego zainfekowania około 40% docelowych użytkowników końcowych poprzez wykorzystanie luk w przeglądarkach i wtyczkach przeglądarki. W niektórych przypadkach zestaw wykorzystywał luki w zabezpieczeniach typu zero-day. Firma Talos zaprezentowała film, w którym wyjaśniono infrastrukturę wędkarza i pokazano, jak wykorzystuje wędkarza do narażania Maszyny i instalowania oprogramowania ransomware.

Angler jest znany z gromadzenia informacji o użytkownikach i dostosowywania ataków w oparciu o używane wersje oprogramowania. Większość kampanii skierowana była do użytkowników korzystających ze starych i nieporównywalnych wersji Adobe Flash i Internet Explorer. W rzeczywistości prawie 75% exploitów serwowanych przez Angler było związanych z Adobe Flash.

Talos wspomniał, że wędkarz był również używany do dystrybucji różnych rodzajów ataków. Zidentyfikowali narzędzie znane jako Bedep downloader, które jest złośliwym oprogramowaniem, które zapewnia dodatkowe obciążenia, a także złośliwym oprogramowaniem używanym w oszustwach typu click fraud i kilku przypadkach keyloggerów.

the takedown

The Angler infrastructure uses a proxy-server configuration. Złośliwa aktywność jest obsługiwana z jednego serwera exploitowego przez wiele serwerów proxy. Ofiary komunikują się z serwerami proxy, a nie bezpośrednio z serwerem exploit, z możliwością kierowania komunikacji przez różne serwery proxy. Takie podejście komplikuje dochodzenia, chroniąc w ten sposób infrastrukturę. Istnieje również serwer monitorowania zdrowia, który przeprowadza kontrole zdrowia i zbiera informacje o docelowych maszynach.

przepływ danych wędkarza

źródło: https://blog.opendns.com/

użytkownicy łączyli się z serwerami obsługiwanymi przez dostawcę usług limestone networks, który zgodził się na współpracę z firmą Talos w celu likwidacji infrastruktury. Dzięki ich śledztwu znaleźli Jednego „Aktora zagrożeń”, który celował w aż 90 tys.użytkowników dziennie. Zidentyfikowali jeden serwer zdrowia, który monitorował 147 serwerów proxy w ciągu miesiąca.

Talos zatonął (przekierował domenę na kontrolowane IP) zidentyfikowane domeny i zamknął Serwery proxy. Dzięki współpracy z Limestone Networks uzyskali obrazy dysków na żywo odpowiednich serwerów, co pozwoliło im lepiej zrozumieć podstawową infrastrukturę.

w całej operacji kluczową rolę odgrywała współpraca. Bez współpracy sieci wapiennych Talos miałby bardzo ograniczoną widoczność i dostęp do infrastruktury. Dodatkowy wgląd w globalną działalność sieci zapewniono dzięki współpracy z laboratoriami Level 3 Threat Research Labs. Ponadto współpraca z OpenDNS zapewniła firmie Talos dogłębny wgląd w aktywność domenową związaną z atakami. OpenDNS napisał również ciekawy wpis na blogu o takedown.

liczby

serwer zdrowia był krytyczny w zrozumieniu skali kampanii i pozwolił Talosowi umieścić realistyczną wartość pieniężną na operacji. Ta pojedyncza operacja była odpowiedzialna za około połowę aktywności wędkarzy i szacowano, że generuje 30 mln USD rocznie z samych infekcji ransomware, co oznaczałoby, że pełny zakres działalności wędkarskiej może z łatwością generować ponad 60 mln USD rocznie.

15.000 unikalne witryny pchnął zestaw exploit do niczego nie podejrzewających odwiedzających z ponad 60 procent infekcji dostarczających albo CryptoWall 3.0 lub TeslaCrypt 2.0 ransomware. Co ciekawe, Talos zauważył, że kilka stron nekrologów było adresowanych. Uważają, że zostało to zrobione jako środek skierowany do osób starszych, które są bardziej skłonne do korzystania z nieporównywalnego oprogramowania i korzystania z IE, który jest domyślną przeglądarką systemu operacyjnego Windows. Również seniorzy są znani z tego, że są podatni na ransomware. Według badań przeprowadzonych przez Stanford Center on Longevity i FINRA Investor Education Foundation, w Stanach Zjednoczonych osoby w wieku 65 lat i powyżej są o 34% bardziej narażone na utratę pieniędzy na oszustwie finansowym niż osoby po 40.

oszacowanie rocznego przychodu w wysokości 30 mln USD uzyskano na podstawie następujących faktów, szacunków i obliczeń:

  • w ciągu 1 dnia Serwer Wędkarski obsługiwał exploity na 9000 unikalnych adresów IP
  • 40% użytkowników obsługiwanych przez wędkarza exploity są zagrożone
  • dlatego w ciągu 1 dnia Serwer Wędkarski naraża 3600
  • Serwer zdrowia monitorował 147 serwerów wędkarskich w ciągu 1 miesiąca
  • to skutkuje około 529.000 systemów zainfekowanych w ciągu 1 miesiąca
  • 62% infekcji wywołało ransomware
  • 2.9% ofiar zapłaciło okup (według US-CERT cytującego badanie Symantec)
  • średnie zapotrzebowanie na okup w wysokości 300 USD
  • daje to 3 miliony USD miesięcznie
  • 30 mln USD rocznie

powyższe liczby są szacunkami, jednak opierają się na realistycznych danych.

podsumowanie

zakłócenie operacji odpowiedzialne za połowę aktywności wędkarza to dobra wiadomość, a wszyscy uczestnicy tej operacji zasługują na pochwałę. Sprawa ta pokazała, że współpraca między różnymi podmiotami o podobnych zainteresowaniach może przynieść wiele korzyści. Właściwe połączenie czynników, takich jak wiedza, zasoby, jurysdykcja i pozycja strategiczna, może być niezwykle korzystne i mieć większy wpływ niż niezależny podmiot działający samodzielnie.

o „sugerowanym czytaniu” z ENISA

seria „sugerowane Czytanie” ENISA ma na celu udzielenie zainteresowanym czytelnikom wskazówek na temat kontrowersyjnych i tajemniczych dyskusji związanych z NIS, które są prowadzone w mediach, poprzez sugerowanie wybranych wstępnie recenzowanych artykułów, które naszym zdaniem wyjaśniają omawiany problem i związane z nim okoliczności w rozsądny i zrozumiały sposób. Pogląd ten wywodzi się z przeszłych doświadczeń i zdrowego rozsądku; w żaden sposób „sugerowane czytanie” nie powinno być rozumiane jako zalecany sposób działania w konkretnym incydencie lub dochodzeniu, lub jako ostateczny wniosek. Zachęcamy do kontaktu z ENISA w celu omówienia lub uzyskania dodatkowych informacji na temat serii „sugerowane Czytanie” ([email protected]).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.