The playground

More information here

Takedown of the Angler Exploit Kit

Introducere Angler exploit kit eliminarea numerele concluzie despre „lectura sugerată” din ENISA Introducere În octombrie 2015 Talos, grupul de cercetare și informații de securitate Cisco, a lansat o declarație cu privire la modul în care „au dat o lovitură” unui grup de infractori cibernetici prin perturbarea fluxului de venituri generat prin notorii Angler Exploit Kit. […]

Introducere

În octombrie 2015 Talos, grupul de cercetare și informații de securitate Cisco, a lansat o declarație cu privire la modul în care „au dat o lovitură” unui grup de infractori cibernetici prin perturbarea fluxului de venituri generat prin notorii Angler Exploit Kit. Potrivit lui Talos, eliminarea a vizat un actor de amenințare care a fost responsabil pentru aproape jumătate din toate activitățile Angler Exploit Kit și s-a estimat că va genera peste 30 de milioane de dolari anual prin împingerea ransomware-ului asupra victimelor nebănuite.

kit-ul de exploatare Angler a fost legat de mai multe campanii de ransomware, inclusiv Cryptowall și TeslaCrypt pe scară largă și este recunoscut pe scară largă ca fiind unul dintre cele mai avansate kituri de exploatare de pe piață. Importanța acestei eliminări nu s-a datorat doar perturbării fluxului de venituri al infractorilor cibernetici, ci și datorită informațiilor utile pe care Talos le-a putut aduna, analiza și disemina în raportul lor detaliat. Ca urmare a acestei operațiuni, comunitatea a avut o ocazie rară de a avea o privire interioară asupra infrastructurii care desfășoară astfel de campanii. Aceste informații sunt importante pentru analiștii și inginerii de securitate care doresc să-și protejeze sistemele de astfel de atacuri.

Angler exploit kit

eliminarea a fost gestionată de unitatea de securitate Talos a Cisco Systems, care cerceta kit-ul Angler Exploit. Angler este unul dintre cele mai sofisticate kituri de exploatare disponibile pe piața extrem de competitivă a malware-ului subteran. Se mândrește cu capacitatea de a infecta cu succes aproximativ 40% dintre utilizatorii finali vizați prin exploatarea vulnerabilităților din browsere și pluginurile browserului. În unele cazuri, kitul a exploatat vulnerabilitățile zero-day. Talos a prezentat un videoclip informativ care explică infrastructura Angler și demonstrează utilizarea angler pentru a compromite o mașină și a instala ransomware.

Angler este cunoscut pentru a aduna informații de utilizator, și personaliza atacurile bazate pe versiunile de software utilizate. Majoritatea campaniilor au vizat utilizatorii care rulează versiuni vechi și nepatchate de Adobe Flash și Internet Explorer. De fapt, aproape 75% din exploatările servite prin Angler au fost legate de Adobe Flash.Talos a menționat că Angler a fost folosit și pentru a distribui diferite tipuri de atacuri. Ei au identificat un instrument cunoscut sub numele de Bedep downloader, care este malware care oferă sarcini utile suplimentare, precum și malware utilizat în escrocherii de fraudă cu clicuri și câteva cazuri de keyloggers.

eliminarea

infrastructura Angler utilizează o configurație proxy-server. Activitatea rău intenționată este difuzată de pe un singur server exploit prin mai multe servere proxy. Victimele comunică cu serverele proxy și nu direct cu serverul exploit, cu capacitatea de a direcționa comunicațiile prin diferite proxy-uri. Această abordare complică investigațiile, protejând astfel infrastructura. Există, de asemenea, un server de monitorizare a sănătății care efectuează verificări de sănătate și adună informații despre mașinile țintă.

fluxul de date pescar

Sursa: https://blog.opendns.com/

în timpul investigației lor, Talos a văzut că un procent mare de end infectate utilizatorii se conectau la servere operate de furnizorul de servicii limestone Networks, care a fost de acord să coopereze cu Talos pentru a elimina infrastructura. Prin investigația lor, au găsit un singur „actor de amenințare” care viza până la 90 de mii de utilizatori finali pe zi. Ei au identificat un singur server de sănătate care monitoriza 147 de servere proxy pe parcursul unei luni.

Talos sinkholed (redirecționat domeniul la un IP controlat) domeniile identificate și închide serverele proxy. Cu colaborarea rețelelor de calcar, au obținut Imagini live pe disc ale serverelor relevante, ceea ce le-a permis să înțeleagă mai bine infrastructura de bază.

de-a lungul operațiunii, colaborarea a jucat un rol esențial. Fără cooperarea rețelelor de calcar, Talos ar fi avut o vizibilitate foarte limitată și acces la infrastructură. Vizibilitate suplimentară asupra activității globale a rețelei a fost asigurată datorită colaborării lor cu laboratoarele de cercetare a amenințărilor de nivel 3. În plus, colaborarea cu OpenDNS a oferit Talos o vizibilitate aprofundată asupra activității domeniului asociat atacurilor. OpenDNS a scris, de asemenea, o intrare interesantă pe blog despre eliminare.

numerele

serverul de sănătate a fost critic în înțelegerea amplorii campaniei și i-a permis lui Talos să pună o valoare monetară realistă asupra operațiunii. Această operațiune unică a fost responsabilă pentru aproximativ jumătate din activitatea pescarului și a fost estimată să genereze 30 de milioane de dolari anual doar din infecțiile ransomware, ceea ce ar implica faptul că întregul domeniu de activitate al pescarului ar putea genera cu ușurință mai mult de 60 de milioane de dolari anual.

15.000 site-uri unice împins kit exploit pentru vizitatori încrezători cu mai mult de 60 la suta din infectii livrarea fie CryptoWall 3.0 sau TeslaCrypt 2.0 ransomware. Interesant, Talos a observat că mai multe pagini web necrolog au fost vizate. Ei cred că acest lucru a fost făcut ca un mijloc de a viza persoanele în vârstă, care sunt mai susceptibile de a utiliza software-ul unpatched și de a folosi IE, care este browserul implicit al sistemului de operare Windows. De asemenea, se știe că persoanele în vârstă sunt susceptibile la ransomware. Potrivit unui studiu realizat de Stanford Center on Longevity și FINRA Investor Education Foundation, în SUA, persoanele în vârstă de 65 de ani și peste AU cu 34% mai multe șanse să fi pierdut bani pe o înșelătorie financiară decât persoanele de 40 de ani.

estimarea veniturilor anuale de 30 milioane USD a fost obținută folosind următoarele fapte, estimări și calcule:

  • în 1 zi, serverul Angler a servit exploatări la 9000 de adrese IP unice
  • 40% dintre utilizatorii care au fost deserviți exploatează de Angler sunt compromiși
  • prin urmare, în 1 zi serverul Angler compromite 3600
  • serverul de sănătate a monitorizat 147 Servere 529.000 sisteme infectate peste 1 lună
  • 62% din infecții pescar livrate ransomware
  • 2.9% dintre victime au plătit răscumpărarea (conform US-CERT citând un studiu Symantec)
  • cererea medie de răscumpărare de 300 USD
  • aceasta duce la 3 milioane USD pe lună
  • >30 milioane USD anual

numerele de mai sus sunt estimări, însă se bazează pe date realiste.

concluzie

întreruperea operațiunii responsabile pentru jumătate din activitatea Angler kit este o veste bună și toți actorii din această operațiune merită laude. Acest caz a demonstrat că cooperarea între diferiți actori cu interese similare poate fi un drum lung. Combinația potrivită de factori precum cunoștințele, resursele, jurisdicția și poziția strategică poate fi extrem de benefică și mai impactantă decât o entitate independentă care operează singură.

despre „lectura sugerată” din ENISA

cu seria „lectură sugerată” ENISA își propune să ofere cititorului interesat îndrumări cu privire la discuțiile controversate și de nepătruns legate de NIS care se desfășoară în mass-media, sugerând articole pre-revizuite selectate care, în opinia noastră, explică problema la îndemână și circumstanțele conexe într-un mod rezonabil și ușor de înțeles. Această viziune este derivată din experiențele trecute și bunul simț; în niciun caz „citirea sugerată” nu trebuie înțeleasă ca curs recomandat de acțiune într-un incident sau investigație specifică sau fiind o concluzie finală. Simțiți-vă liber să luați legătura cu ENISA pentru a discuta sau a întreba mai multe informații despre seria „lectură sugerată” ([email protected]).

Lasă un răspuns

Adresa ta de email nu va fi publicată.