The playground

More information here

The Takedown of the Angler Exploit Kit

Inledning Angler exploit kit borttagningen siffrorna slutsats om” föreslagen läsning ”från ENISA Inledning i oktober 2015 Talos, Ciscos Security Intelligence and Research Group, släppt ett uttalande om hur de ”slog ett slag”till en grupp cyberbrottslingar genom att störa deras intäkter genereras genom den ökända Angler Exploit Kit. Enligt Talos var takedown riktad mot en hotskådespelare […]

Inledning

i oktober 2015 Talos, Ciscos Security Intelligence and Research Group, släppt ett uttalande om hur de ”slog ett slag”till en grupp cyberbrottslingar genom att störa deras intäkter genereras genom den ökända Angler Exploit Kit. Enligt Talos var takedown riktad mot en hotskådespelare som var ansvarig för nästan hälften av alla Angler Exploit kits aktiviteter och uppskattades generera mer än 30 miljoner dollar årligen genom att driva ransomware på intet ont anande offer.

Angler exploit kit har kopplats till flera ransomware-kampanjer, inklusive den utbredda CryptoWall och TeslaCrypt, och är allmänt erkänd som en av de mest avancerade exploit kit på marknaden. Betydelsen av denna borttagning berodde inte bara på störningen av cyberbrottslingarnas inkomstström, utan också på grund av användbar information som Talos kunde samla in, analysera och sprida i sin detaljerade rapport. Som ett resultat av denna operation fick samhället en sällsynt möjlighet att få en inblick i infrastrukturen som kör denna typ av kampanjer. Denna information är viktig för säkerhetsanalytiker och ingenjörer som vill skydda sina system från sådana attacker.

Angler exploit kit

borttagningen hanterades av Cisco Systems Talos security unit, som undersökte Angler Exploit kit. Angler är en av de mest sofistikerade utnyttja kit som finns i den mycket konkurrensutsatta underjordiska malware marknaden. Den har förmågan att framgångsrikt infektera uppskattningsvis 40% av de riktade slutanvändarna genom att utnyttja sårbarheter i webbläsare och webbläsarinsticksprogram. I vissa fall utnyttjade satsen nolldagars sårbarheter. Talos presenterade en informativ video som förklarar Anglers infrastruktur och visar användningen av angler för att kompromissa med en maskin och installera ransomware.

Angler är känt för att samla in användarinformation och anpassa attacker baserat på de programversioner som används. De flesta kampanjer riktade sig till användare som kör gamla och opatchade versioner av Adobe Flash och Internet Explorer. Faktum är att nästan 75% av exploaterna som betjänades genom Angler var Adobe Flash-relaterade.

Talos nämnde att Angler också användes för att distribuera olika typer av attacker. De identifierade ett verktyg som kallas Bedep downloader, vilket är skadlig kod som ger ytterligare nyttolaster, liksom skadlig kod som används i klickbedrägerier och några instanser av keyloggers.

borttagningen

Angler-infrastrukturen använder en proxy-serverkonfiguration. Den skadliga aktiviteten serveras från en enda exploateringsserver via flera proxyservrar. Offren kommunicerar med proxyservrarna, och inte direkt med exploit-servern, med förmågan att dirigera kommunikation genom olika proxyservrar. Detta tillvägagångssätt komplicerar utredningar och skyddar därmed infrastrukturen. Det finns också en hälsoövervakningsserver som utför hälsokontroller och samlar in information om målmaskinerna.

Angler data flow

källa: https://blog.opendns.com/

under sin undersökning såg Talos att en stor andel av infekterade användare anslöt till servrar som drivs av tjänsteleverantören limestone Networks, som gick med på att samarbeta med Talos för att ta ner infrastrukturen. Genom sin undersökning hittade de en enda ”hot skådespelare” som riktade sig till så många som 90K slutanvändare per dag. De identifierade en enda hälsoserver som övervakade 147 proxyservrar under en månad.

Talos sinkholed (omdirigerade domänen till en kontrollerad IP) de identifierade domänerna och stängde av proxyservrarna. I samarbete med Limestone Networks fick de levande diskbilder av relevanta servrar som gjorde det möjligt för dem att bättre förstå den underliggande infrastrukturen.

under hela operationen spelade samarbete en viktig roll. Utan samarbete med Kalkstensnätverk skulle Talos ha haft mycket begränsad synlighet och tillgång till infrastrukturen. Ytterligare synlighet i nätverkets globala aktivitet tillhandahölls tack vare deras samarbete med Level 3 Threat Research Labs. Dessutom gav samarbetet med OpenDNS Talos djupgående insyn i domänaktiviteten i samband med attackerna. OpenDNS skrev också ett intressant blogginlägg om takedown.

siffrorna

hälsoservern var avgörande för förståelsen av kampanjens omfattning och tillät Talos att sätta ett realistiskt monetärt värde på operationen. Denna enda operation var ansvarig för ungefär hälften av Fiskaraktiviteten och uppskattades generera 30 miljoner dollar årligen från ransomware-infektioner, vilket skulle innebära att hela Fiskaraktiviteten lätt kunde generera mer än 60 miljoner dollar årligen.

15.000 unika webbplatser drev exploit kit till intet ont anande besökare med mer än 60 procent av infektionerna som levererade antingen CryptoWall 3.0 eller TeslaCrypt 2.0 ransomware. Intressant nog märkte Talos att flera dödswebbplatser var riktade. De tror att detta gjordes som ett sätt att rikta sig till äldre, som är mer benägna att använda opatchad programvara och använda IE som är standard Windows OS-Webbläsare. Också, pensionärer är kända för att vara mottagliga för ransomware. Enligt en studie utförd av Stanford Center on Longevity och FINRA Investor Education Foundation, i USA, är personer över 65 år 34% mer benägna att ha förlorat pengar på en ekonomisk bluff än människor i 40-talet.

den årliga intäktsuppskattningen på $30 miljoner erhölls med hjälp av följande fakta, uppskattningar och beräkningar:

  • på 1 dag serverade Angler server exploits till 9000 unika IP-adresser
  • 40% av användarna som betjänas exploits av Angler äventyras
  • därför i 1 dag Angler server kompromisser 3600
  • Health server övervakade 147 Angler-servrar över 1 månad
  • detta resulterar i cirka 529.000 system infekterade över 1 månad
  • 62% av angler infektioner levererade ransomware
  • 2.9% av offren betalade lösen (enligt US-CERT citerar en Symantec studie)
  • Genomsnittlig lösen efterfrågan på $300
  • detta resulterar i $3 miljoner per månad
  • >$30m årligen

siffrorna ovan är uppskattningar, men de är baserade på realistiska data.

slutsats

störningen av operationen som är ansvarig för hälften av Angler kit verksamhet är goda nyheter, och alla aktörer i denna operation förtjänar beröm. Detta fall visade att samarbete mellan olika aktörer med liknande intressen kan gå långt. Den rätta blandningen av faktorer som kunskap, resurser, jurisdiktion och strategisk position kan vara mycket fördelaktig och mer effektfull än en oberoende enhet som arbetar på egen hand.

om” föreslagen läsning ”från ENISA

med serien” föreslagen läsning ” syftar Enisa till att ge den intresserade läsaren vägledning om kontroversiella och outgrundliga NIS-relaterade diskussioner som genomförs i Media, genom att föreslå utvalda förhandsgranskade artiklar som enligt vår uppfattning förklarar frågan och relaterade omständigheter på ett rimligt och förståeligt sätt. Denna uppfattning härrör från tidigare erfarenheter och sunt förnuft; på något sätt bör ”föreslagen läsning” förstås som Rekommenderad åtgärd i en specifik händelse eller utredning, eller vara en slutlig slutsats. Ta gärna kontakt med ENISA för att diskutera eller Fråga mer information till serien ”föreslagen läsning” ([email protected]).

Lämna ett svar

Din e-postadress kommer inte publiceras.