Krátké bio

Rybář byl jedním z předních exploit kity používané zločinci distribuovat malware v rozmezí od ransomware a bankovní Trojské koně reklamní podvod. Stejně jako většina ostatních exploit kity, se zaměřila na webových zranitelností v prohlížečů a jejich pluginů. Rybář byl jeden z mála exploit kity, během jeho času, který nabídl fileless infekce, kde je malware se nikdy nedotýká disku a se nachází pouze v paměti, aby se zabránilo odhalení. Rybář je neaktivní od června 2016.

historie

Když Blackhole,“ král vykořisťovacích souprav“, koncem roku 2013 zmizel, zanechal v kriminálním podzemí prázdnotu. Ne déle poté, nováček zvaný rybář začal generovat nějaké bzučení. Netrvalo dlouho, než se stal de facto exploit kit, díky své celkové účinnosti a schopnosti přidat do svého arzenálu zranitelnosti zero-day.

rybář použil zranitelnosti v aplikaci Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer a Flash.

je pozoruhodné, že rybář také použil chybu ActiveX XLMDOM (CVE-2013-7331) pro systémy otisků prstů. Tato technika se používá k detekci virtuálních strojů, pískovišť a bezpečnostních nástrojů, které naznačují přítomnost výzkumného pracovníka v oblasti bezpečnosti a nikoli skutečného koncového uživatele.

Angler také využil Diffie-Hellman šifrovací výměnu klíčů, aby každý útok jedinečný pro konkrétní oběť a zmařit pokusy o přehrávání paketů zachytí.

Z výše popsaných důvodů byl rybář jednou z technicky nejsložitějších exploitových souprav. Kromě toho, vývojáři za Rybář ukázaly velkou zručnost, když to přišlo k integraci nejnovější záplatované zranitelnosti, během několika dnů, někdy i hodin, po které byly stanoveny příslušnými dodavateli softwaru.

nakonec byl rybář velmi zběhlý v zavádění zcela nových exploitů pro neopravené zranitelnosti, tzv. To představovalo skutečnou hrozbu pro spotřebitele a podniky, protože ukazuje, že ani záplatování v dnešní době nestačí. Oprava je již problematická, takže vznik zero-days staví věci do perspektivy a vyžaduje jinou strategii pro jejich boj.

Common infection method

provoz do sady Angler exploit kit pochází z malvertising a ohrožených webových stránek. Přesměrování provozu je nezbytnou součástí celého ekosystému exploit kit a mezi provozovateli těchto exploit kitů a lidmi (obchodníky), kteří mají na starosti řízení, jsou úzké vazby.

infekce se stalo přes proces známý jako drive-by ke stažení, kde uživatel je procházení legitimní stránky (nebo ohrožení), je přesměrován na exploit kit stránku bez jakékoliv akce na jejich straně. Někdy se přesměrování děje na pozadí prostřednictvím iframe, například díky tomu je proces infekce téměř neviditelný od koncového uživatele.

Pokud uživatel je stroj zranitelný (nebo i kdyby to tak nebylo, v případě zero-day), kus malware je stažena na disk nebo injekčně přímo do paměti. Exploit kits lze považovat za způsob doručení, vozidlo pro jakýkoli typ infekce malwarem.

přidružené rodiny

existují podobnosti mezi rybářem EK a Hanjuan EK, další nepolapitelnější exploit kit. Například použití podobných šifrovacích klíčů a užitečná zatížení bez souborů.

sanace

nelze odstranit samotnou exploit kit, protože je to opravdu jen nástroj k infikování počítače v určitém čase. Z tohoto důvodu závisí sanace na skutečném škodlivém softwaru, který byl zrušen, což je v mnoha případech ve skutečnosti kombinace různých kusů malwaru.

následky

příznaky infekce prostřednictvím exploit kit nejsou vždy zřejmé, pokud má být kus malwaru nenápadný(tj. V ostatních případech si uživatel rychle uvědomí, že se něco pokazilo, když je jeho plocha unesena zprávou požadující výkupné za dešifrování svých osobních souborů.

Vyhýbání se

Neexistuje žádný skutečný způsob, jak se vyhnout exploit kity, protože oni jsou na přes malvertising i na oblíbené webové stránky. Vzhledem k tomu, že jsme všichni byli vystaveni exploit kity, na jednom místě nebo jiný, ale to, zda jsme nakaženi, nebo ne, závisí na typu exploit, který byl tlačil, a když jsme byli s použitím jakéhokoliv typu exploit mitigation software.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.