Kurzbiografie

Angler war eines der führenden Exploit-Kits, mit denen Cyberkriminelle Malware von Ransomware und Banking-Trojanern bis hin zu Anzeigenbetrug verbreiteten. Wie die meisten anderen Exploit-Kits konzentrierte es sich auf webbasierte Schwachstellen in den Browsern und deren Plugins. Angler war zu seiner Zeit eines der wenigen Exploit-Kits, das dateilose Infektionen anbot, bei denen Malware niemals die Festplatte berührt und sich nur im Speicher befindet, um eine Erkennung zu vermeiden. Angler ist seit Juni 2016 inaktiv.

Geschichte

Als Blackhole, der „König der Exploit-Kits“, Ende 2013 verschwand, hinterließ es eine Lücke im kriminellen Untergrund. Nicht länger danach, Ein Neuling namens Angler begann für Aufsehen zu sorgen. Es dauerte nicht lange, bis es zum De-facto-Exploit-Kit wurde, dank seiner Gesamteffektivität und der Fähigkeit, Zero-Day-Schwachstellen in sein Arsenal aufzunehmen.

Angler verwendet Schwachstellen in Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer und Flash.

Es ist bemerkenswert, dass Angler auch die ActiveX XLMDOM-Sicherheitsanfälligkeit (CVE-2013-7331) verwendet hat, um Systeme zu scannen. Diese Technik wird verwendet, um virtuelle Maschinen, Sandboxen und Sicherheitstools zu erkennen, die die Anwesenheit eines Sicherheitsforschers und nicht eines echten Endbenutzers anzeigen.Angler nutzte auch einen Diffie-Hellman-Verschlüsselungsschlüsselaustausch, um jeden Angriff für ein bestimmtes Opfer einzigartig zu machen und Versuche zu vereiteln, Paketerfassungen wiederzugeben.

Aus den oben beschriebenen Gründen war Angler eines der technisch komplexesten Exploit-Kits. Darüber hinaus haben die Entwickler hinter Angler großes Geschick gezeigt, wenn es darum ging, die neuesten gepatchten Schwachstellen in wenigen Tagen, manchmal Stunden, zu integrieren, nachdem sie von den jeweiligen Softwareanbietern behoben wurden.

Schließlich war Angler sehr geschickt darin, brandneue Exploits für ungepatchte Schwachstellen, die sogenannten Zero-Days, einzuführen. Dies stellte eine echte Bedrohung für Verbraucher und Unternehmen dar, da es zeigt, dass selbst Patches heutzutage nicht ausreichen. Patching ist bereits problematisch, daher relativiert die Entstehung von Zero-Days die Dinge und erfordert eine andere Strategie, um sie zu bekämpfen.

Häufige Infektionsmethode

Der Datenverkehr zum Angler Exploit Kit kam von Malvertising und kompromittierten Websites. Die Umleitung des Datenverkehrs ist ein wesentlicher Bestandteil des gesamten Exploit-Kit-Ökosystems, und es bestehen enge Beziehungen zwischen den Betreibern dieser Exploit-Kits und den Personen (Traffern), die für die Weiterleitung von Leads zu ihnen verantwortlich sind.

Die Infektion geschah über einen Prozess als Drive-by-Download bekannt, wo ein Benutzer eine legitime Website surfen (oder kompromittiert ein) wird auf die Exploit-Kit-Seite ohne jede Art von Aktion von ihrer Seite umgeleitet. Manchmal geschieht die Umleitung im Hintergrund über einen iframe, zum Beispiel, so dass der Infektionsprozess fast unsichtbar vom Endbenutzer.

Wenn der Computer des Benutzers anfällig war (oder im Falle eines Zero-Day nicht), wird eine Malware auf die Festplatte gelöscht oder direkt in den Speicher injiziert. Exploit-Kits können als Versandmethode angesehen werden, als Vehikel für jede Art von Malware-Infektion.

Zugehörige Familien

Es gab Ähnlichkeiten zwischen Angler EK und Hanjuan EK, einem anderen schwer fassbaren Exploit-Kit. Zum Beispiel die Verwendung ähnlicher Verschlüsselungsschlüssel und der dateilosen Nutzlasten.

Remediation

Man kann das Exploit-Kit nicht selbst entfernen, da es eigentlich nur ein Werkzeug ist, um einen PC zu einem bestimmten Zeitpunkt zu infizieren. Aus diesem Grund hängt die Behebung von der tatsächlich gelöschten Malware ab, die in vielen Fällen tatsächlich eine Kombination verschiedener Malware-Teile ist.

Nachwirkungen

Die Anzeichen einer Infektion über ein Exploit-Kit sind nicht immer offensichtlich, wenn die Malware heimlich sein soll (z. B. Banking-Trojaner). In anderen Fällen wird der Benutzer schnell feststellen, dass etwas schief gelaufen ist, wenn sein Desktop mit einer Nachricht entführt wird, in der ein Lösegeld für die Entschlüsselung seiner persönlichen Dateien gefordert wird.

Vermeidung

Es gibt keine wirkliche Möglichkeit, Exploit-Kits zu vermeiden, da sie selbst auf beliebten Websites über Malvertising verbreitet werden. Angesichts dessen waren wir alle irgendwann Exploit-Kits ausgesetzt, aber ob wir infiziert waren oder nicht, hängt von der Art des Exploits ab, der gepusht wurde, und davon, ob wir irgendeine Art von Exploit-Minderungssoftware verwendeten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.