Courte biographie

Angler était l’un des principaux kits d’exploit utilisés par les cybercriminels pour distribuer des logiciels malveillants allant des ransomwares aux chevaux de Troie bancaires en passant par la fraude publicitaire. Comme la plupart des autres kits d’exploits, il s’est concentré sur les vulnérabilités basées sur le Web dans les navigateurs et leurs plugins. Angler était l’un des rares kits d’exploitation à son époque à proposer des infections sans fichier, où les logiciels malveillants ne touchent jamais le disque et ne résident que dans la mémoire pour éviter la détection. Le pêcheur est inactif depuis juin 2016.

Histoire

Lorsque Blackhole, le « roi des kits d’exploitation », a disparu fin 2013, il a laissé un vide dans les souterrains criminels. Peu de temps après, un nouveau venu appelé Angler a commencé à générer du buzz. Il n’a pas fallu longtemps pour devenir le kit d’exploitation de facto, grâce à son efficacité globale et à sa capacité à ajouter des vulnérabilités zero-day à son arsenal.

Angler a utilisé des vulnérabilités dans Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer et Flash.

Il est à noter que Angler a également utilisé la vulnérabilité ActiveX XLMDOM (CVE-2013-7331) pour les systèmes d’empreintes digitales. Cette technique est utilisée pour détecter les machines virtuelles, les bacs à sable et les outils de sécurité qui indiquent la présence d’un chercheur en sécurité et non d’un véritable utilisateur final.

Angler a également utilisé un échange de clés de chiffrement Diffie-Hellman pour rendre chaque attaque unique à une victime particulière et contrecarrer les tentatives de relecture des captures de paquets.

Pour les raisons décrites ci-dessus, Angler était l’un des kits d’exploit les plus complexes techniquement. De plus, les développeurs derrière Angler ont fait preuve d’une grande habileté lorsqu’il s’agissait d’intégrer les dernières vulnérabilités corrigées, en quelques jours, parfois quelques heures, après qu’elles aient été corrigées par les fournisseurs de logiciels respectifs.

Enfin, Angler était très habile à introduire de nouveaux exploits pour les vulnérabilités non corrigées, les « zero-days ». Cela représentait une menace réelle pour les consommateurs et les entreprises car cela montre que même les correctifs ne suffisent pas de nos jours. Le patching étant déjà problématique, l’émergence des jours zéro remet les choses en perspective et nécessite une stratégie différente pour les combattre.

Méthode d’infection commune

Le trafic vers le kit d’exploit de pêcheur à la ligne provenait de sites Web malvertising et compromis. La redirection du trafic est une partie essentielle de l’ensemble de l’écosystème des kits d’exploitation, et il existe des liens étroits entre les opérateurs de ces kits d’exploitation et les personnes (trafiquants) chargées de les conduire.

L’infection s’est produite via un processus appelé drive-by download, où un utilisateur naviguant sur un site légitime (ou compromis) est redirigé vers la page du kit d’exploitation sans aucune action de sa part. Parfois, la redirection se produit en arrière-plan via un iframe, par exemple, rendant le processus d’infection presque invisible de l’utilisateur final.

Si la machine de l’utilisateur était vulnérable (ou même si ce n’était pas le cas, dans le cas d’un jour zéro), un logiciel malveillant est déposé sur le disque ou injecté directement dans la mémoire. Les kits d’exploitation peuvent être considérés comme une méthode de livraison, un véhicule pour tout type d’infection par un logiciel malveillant.

Familles associées

Il y a eu des similitudes entre Angler EK et Hanjuan EK, un autre kit d’exploit plus insaisissable. Par exemple, l’utilisation de clés de chiffrement similaires et de charges utiles sans fichier.

Correction

On ne peut pas supprimer le kit d’exploit lui-même, car c’est vraiment juste un outil pour infecter un PC à un moment donné. Pour cette raison, la correction dépend du logiciel malveillant qui a été supprimé, qui dans de nombreux cas est en fait une combinaison de divers logiciels malveillants.

Aftermath

Les signes d’une infection via un kit d’exploit ne sont pas toujours évidents si le logiciel malveillant est censé être furtif (c’est-à-dire un cheval de Troie bancaire). Dans d’autres cas, l’utilisateur se rendra rapidement compte que quelque chose a mal tourné lorsque son bureau est détourné avec un message exigeant une rançon pour déchiffrer ses fichiers personnels.

Évitement

Il n’y a aucun moyen réel d’éviter les kits d’exploitation car ils sont provoqués par la publicité malveillante, même sur des sites Web populaires. Compte tenu de cela, nous avons tous été exposés à des kits d’exploit à un moment ou à un autre, mais le fait que nous ayons été infectés ou non dépend du type d’exploit qui a été poussé, et si nous utilisions un type de logiciel d’atténuation des exploits.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.