kort bio

Angler var et af de førende udnyttelsessæt, der blev brugt af cyberkriminelle til at distribuere ondsindede programmer lige fra løsepenge og Banktrojanere til annoncesvindel. Som de fleste andre udnyttelsessæt fokuserede det på internetbaserede sårbarheder i Bro.sere og deres plugins. Angler var et af de få udnyttelsessæt i løbet af sin tid, der tilbød filløse infektioner, hvor ondsindet aldrig rører disken og kun ligger i hukommelsen for at undgå detektion. Angler har været inaktiv siden juni 2016.

historie

da Blackhole, “kongen af udnyttelsessæt”, forsvandt i slutningen af 2013, efterlod det et tomrum i de kriminelle undergrunde. Ikke længere efter, en nykommer kaldet Angler begyndte at generere noget brummer. Det tog ikke lang tid at blive de facto udnytte kit, takket være dens samlede effektivitet og evne til at tilføje nul-dages sårbarheder i sit arsenal.

Angler brugte sårbarheder i Internetudforsker, Silverlight, Flash Player, Adobe Reader, Java, Internetudforsker og Flash.det er bemærkelsesværdigt, at Angler også brugte sårbarhed (CVE-2013-7331) til fingeraftrykssystemer. Denne teknik bruges til at registrere virtuelle maskiner, sandkasser og sikkerhedsværktøjer, der indikerer tilstedeværelsen af en sikkerhedsforsker og ikke en ægte slutbruger.

Angler brugte også en Diffie-Hellman krypteringsnøgleudveksling for at gøre hvert angreb unikt for et bestemt offer og for at modvirke forsøg på at afspille pakkeoptagelser.

af de ovenfor beskrevne grunde var Angler et af de mest teknisk komplekse udnyttelsessæt. Derudover har udviklerne bag Angler vist stor dygtighed, når det kom til at integrere de nyeste patched sårbarheder i løbet af få dage, nogle gange timer, efter at de blev rettet af de respektive programleverandører.

endelig var Angler meget dygtig til at introducere helt nye udnyttelser til upatchede sårbarheder, de såkaldte nul-dage. Dette repræsenterede en reel trussel mod forbrugere og virksomheder, fordi det viser, at selv patching ikke er nok i disse dage. Patching er allerede problematisk, så fremkomsten af nul-dage sætter tingene i perspektiv og kræver en anden strategi for at bekæmpe dem.

fælles infektion metode

trafik til lystfisker udnytte kit kom fra malvertising og kompromitterede hjemmesider. Trafik omdirigering er en væsentlig del af hele udnytte kit økosystem, og der er tætte bånd mellem operatører af disse udnytte kits og mennesker (traffers) ansvarlig for kørsel fører til dem.

infektionen skete via en proces kendt som drive-by-overførsel, hvor en bruger, der gennemser et legitimt sted (eller kompromitteret) omdirigeres til siden udnyttelsessæt uden nogen form for handling fra deres side. Nogle gange sker omdirigering i baggrunden via en iframe, for eksempel, hvilket gør infektionsprocessen næsten usynlig fra slutbrugeren.

hvis brugerens maskine var sårbar (eller endda hvis den ikke var i tilfælde af en nul-dag), falder et stykke ondsindet program til disken eller injiceres direkte i hukommelsen. Udnyttelsessæt kan ses som en leveringsmetode, et middel til enhver form for ondsindet infektion.

tilknyttede familier

der har været ligheder mellem lystfisker EK og Hanjuan EK, et andet mere undvigende udnyttelsessæt. For eksempel brugen af lignende krypteringsnøgler og filløse nyttelast.

afhjælpning

man kan ikke fjerne selve udnyttelsessættet, da det egentlig bare er et værktøj til at inficere en PC på et bestemt tidspunkt. Af denne grund, afhjælpning afhænger af den faktiske ondsindede program, der blev droppet, som i mange tilfælde er faktisk en kombination af forskellige stykker af ondsindede program.

Aftermath

tegnene på en infektion via et udnyttelsessæt er ikke altid indlysende, hvis det er meningen, at det skal være snigende (dvs.bank Trojan). I andre tilfælde vil brugeren hurtigt indse, at noget er gået galt, når deres skrivebord er kapret med en meddelelse, der kræver en løsesum for at dekryptere deres personlige filer.

undgåelse

der er ingen reel måde at undgå udnytte kits, fordi de er bragt over via malvertising selv på populære hjemmesider. I betragtning af dette har vi alle været udsat for udnyttelsessæt på et eller andet tidspunkt, men om vi blev inficeret eller ej, afhænger af den type udnyttelse, der blev skubbet, og om vi brugte nogen form for udnyttelsesbegrænsningsprogram.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.