Short bio

Angler oli yksi johtavista hyväksikäyttöpaketeista, joita verkkorikolliset käyttivät haittaohjelmien levittämiseen kiristyshaittaohjelmista ja pankkitroijalaisista mainospetoksiin. Kuten useimmat muutkin exploit kits, se keskittyi web-pohjaisiin haavoittuvuuksiin selaimissa ja niiden lisäosissa. Angler oli yksi harvoista hyväksikäyttöpaketeista aikanaan, joka tarjosi tiedostottomia viruksia, joissa haittaohjelma ei koskaan kosketa levyä ja vain sijaitsee muistissa havaitsemisen välttämiseksi. Angler on ollut toimettomana kesäkuusta 2016 lähtien.

historia

kun ”exploit Kitsin kuningas” Blackhole katosi loppuvuodesta 2013, se jätti tyhjiön rikollisten alapohjaan. Ei enää sen jälkeen, tulokas nimeltä Angler alkoi tuottaa hieman kohinaa. Se ei kestänyt kauan tulla de facto hyödyntää kit, kiitos sen yleistä tehokkuutta ja kyky lisätä nollapäivän haavoittuvuuksia sen arsenaali.

Angler käytti haavoittuvuuksia Internet Explorerissa, Silverlightissa, Flash Playerissa, Adobe Readerissa, Javassa, Internet Explorerissa ja Flashissa.

on huomionarvoista, että Angler käytti Sormenjälkijärjestelmiin myös ActiveX XLMDOM-haavoittuvuutta (CVE-2013-7331). Tätä tekniikkaa käytetään havaitsemaan virtuaalikoneita, hiekkalaatikoita ja tietoturvatyökaluja, jotka kertovat tietoturvatutkijan läsnäolosta eikä aidosta loppukäyttäjästä.

Angler käytti myös Diffie-Hellman-salausavainvaihtoa tehdäkseen jokaisesta hyökkäyksestä ainutlaatuisen tietylle uhrille ja estääkseen yritykset toistaa pakettikaappauksia.

edellä kuvatuista syistä Angler oli yksi teknisesti monimutkaisimmista hyödyntämissarjoista. Lisäksi kehittäjät takana Angler ovat osoittaneet suurta taitoa, kun se tuli integroida uusin paikattu haavoittuvuuksia, muutamassa päivässä, joskus tunteja, sen jälkeen, kun ne on korjattu kunkin ohjelmistotoimittajat.

lopulta Angler oli hyvin taitava ottamaan käyttöön aivan uusia hyväksikäyttöjä avaamattomille haavoittuvuuksille, niin kutsutuille nollapäiville. Tämä oli todellinen uhka kuluttajille ja yrityksille, koska se osoittaa, että edes paikkaaminen ei nykyään riitä. Paikkaaminen on muutenkin ongelmallista, joten nollapäivien syntyminen asettaa asiat perspektiiviin ja vaatii erilaista strategiaa niiden torjumiseksi.

yleinen infektiomenetelmä

Liikenne Anglerin hyväksikäyttöpakkaukseen tuli malvertoivilta ja vaarantuneilta verkkosivuilta. Liikenteen uudelleenohjaus on olennainen osa koko exploit kit-ekosysteemiä, ja näiden hyödyntämissarjojen operaattoreiden ja ajosta vastaavien ihmisten (liikenteenharjoittajien) välillä on läheiset suhteet.

tartunta tapahtui drive-by download-nimellä tunnetun prosessin kautta, jossa laillista sivustoa selaava käyttäjä (tai vaarantunut) ohjataan exploit kit-sivulle ilman minkäänlaista toimintaa heidän puoleltaan. Joskus uudelleenohjaus tapahtuu taustalla esimerkiksi iframen kautta, jolloin tartuntaprosessi on loppukäyttäjältä lähes näkymätön.

Jos käyttäjän kone oli haavoittuvainen (tai vaikka ei olisi, nollapäivän tapauksessa), pala haittaohjelmaa pudotetaan levylle tai pistetään suoraan muistiin. Exploit kits voidaan nähdä toimitustapana, ajoneuvona mille tahansa haittaohjelmatartunnalle.

assosioituneissa suvuissa

on ollut yhtäläisyyksiä Angler Ekin ja Hanjuan Ekin välillä, joka on toinen vaikeasti hahmotettava riistopaketti. Esimerkiksi vastaavien salausavainten ja tiedostottomien hyötykuormien käyttö.

Remediation

itse exploit-pakettia ei voi poistaa, koska se on oikeastaan vain työkalu, jolla voi tartuttaa tietokoneen tiettyyn aikaan. Tästä syystä korjaaminen riippuu pudotetusta varsinaisesta haittaohjelmasta, joka on monesti itse asiassa yhdistelmä eri haittaohjelman palasia.

Aftermath

exploit-paketin kautta tapahtuvan tartunnan merkit eivät ole aina ilmeisiä, jos haittaohjelman on tarkoitus olla salakavala (eli pankkitroijalainen). Muissa tapauksissa käyttäjä huomaa nopeasti, että jokin on mennyt pieleen, kun hänen työpöydältään kaapataan viesti, jossa vaaditaan lunnaita henkilökohtaisten tiedostojen salauksen purkamiseksi.

välttäminen

ei ole todellista tapaa välttää haavoittumispaketteja, koska niitä tuodaan malvertoinnin kautta jopa suosituille verkkosivustoille. Ottaen huomioon tämän, me kaikki ovat altistuneet hyödyntää sarjat jossain vaiheessa tai toisella, mutta onko meillä oli tartunnan vai ei riippuu siitä, millaista hyödyntää, joka työnnettiin, ja jos käytimme minkäänlaista hyödyntää lieventämistä ohjelmisto.

Vastaa

Sähköpostiosoitettasi ei julkaista.