Short bio

az Angler volt az egyik vezető exploit készlet, amelyet a számítógépes bűnözők használtak rosszindulatú programok terjesztésére, a ransomware-től és a banki trójaiaktól a hirdetési csalásokig. A legtöbb más exploit készlethez hasonlóan a böngészők és bővítményeik webalapú sebezhetőségeire összpontosított. Az Angler egyike volt azon kevés exploit készleteknek, amelyek fileless fertőzéseket kínáltak, ahol a malware soha nem érinti a lemezt, és csak a memóriában található, hogy elkerülje az észlelést. Az Angler 2016 júniusa óta inaktív.

történelem

amikor a Blackhole, a “kizsákmányoló készletek királya” 2013 végén eltűnt, űrt hagyott a bűnügyi földalatti területeken. Nem sokkal később, egy angler nevű újonc kezdett némi zümmögést generálni. Nem tartott sokáig, hogy a de facto exploit kit legyen, köszönhetően annak általános hatékonyságának és képességének, hogy nulla napos sebezhetőségeket adjon arzenáljába.

az Angler az Internet Explorer, a Silverlight, a Flash Player, az Adobe Reader, A Java, Az Internet Explorer és a Flash biztonsági réseit használta.

figyelemre méltó, hogy az Angler az ActiveX XLMDOM biztonsági rést (CVE-2013-7331) is használta az ujjlenyomat-rendszerekhez. Ezt a technikát olyan virtuális gépek, homokozók és biztonsági eszközök észlelésére használják, amelyek biztonsági kutató jelenlétét jelzik, nem pedig valódi végfelhasználót.

az Angler egy Diffie-Hellman titkosítási kulcscserét is használt, hogy minden támadást egyedivé tegyen egy adott áldozat számára, és megakadályozza a csomagok rögzítésének visszajátszását.

a fent leírt okok miatt az Angler volt az egyik technikailag legösszetettebb kizsákmányoló készlet. Ezenkívül az Angler mögött álló fejlesztők nagyszerű készségeket mutattak a legújabb javított sebezhetőségek integrálásában, néhány nap, néha órák alatt, miután az adott szoftvergyártók kijavították őket.

végül az Angler nagyon ügyes volt a vadonatúj kihasználások bevezetésében a javítatlan sebezhetőségekhez, az úgynevezett nulla napokhoz. Ez valódi veszélyt jelentett a fogyasztók és a vállalkozások számára, mert azt mutatja, hogy manapság még a javítás sem elegendő. A foltozás már problematikus, ezért a nulladik napok megjelenése perspektívába helyezi a dolgokat, és más stratégiát igényel a leküzdésükhöz.

gyakori fertőzési módszer

az Angler exploit készlet forgalma rosszindulatú és veszélyeztetett webhelyekről származott. A forgalom átirányítása a teljes exploit kit ökoszisztéma elengedhetetlen része, és szoros kapcsolatok vannak ezen exploit készletek üzemeltetői és az emberek (traffers) között, akik felelősek a vezetésért.

a fertőzés egy drive-by download néven ismert folyamaton keresztül történt, ahol egy törvényes webhelyet (vagy veszélyeztetett) böngésző felhasználót átirányítanak az exploit kit oldalra, anélkül, hogy bármilyen műveletet végeznének részükről. Néha az átirányítás a háttérben történik egy iframe-en keresztül, például a fertőzés folyamatát szinte láthatatlanná téve a végfelhasználótól.

ha a Felhasználó gépe sebezhető volt (vagy akkor is, ha nem volt, nulla nap esetén), egy rosszindulatú program a lemezre kerül, vagy közvetlenül a memóriába kerül. Exploit készletek lehet tekinteni, mint egy szállítási módszer, a jármű bármilyen típusú malware fertőzés.

kapcsolódó családok

voltak hasonlóságok között Angler EK és Hanjuan EK, egy másik megfoghatatlan exploit kit. Például a hasonló titkosítási kulcsok és a fájl nélküli hasznos terhelések használata.

kármentesítés

magát az exploit készletet nem lehet eltávolítani, mivel ez valójában csak egy eszköz a számítógép megfertőzésére egy adott időpontban. Emiatt a kármentesítés a tényleges elvetett rosszindulatú programtól függ, amely sok esetben valójában különféle rosszindulatú programok kombinációja.

Aftermath

az exploit kit-en keresztüli fertőzés jelei nem mindig nyilvánvalóak, ha a rosszindulatú programot lopakodónak szánják (azaz banki trójai). Más esetekben a felhasználó gyorsan rájönnek, hogy valami elromlott, amikor az asztalon eltérített egy üzenetet követelő váltságdíjat visszafejteni a személyes fájlokat.

elkerülés

nincs valódi módja annak, hogy elkerüljük az exploit készleteket, mert még a népszerű weboldalakon is rosszindulatúak. Ezt figyelembe véve mindannyian ki voltunk téve az exploit készleteknek egy vagy másik ponton, de az, hogy megfertőződtünk-e vagy sem, attól függ, hogy milyen típusú exploit-ot használtak, és hogy bármilyen típusú exploit-enyhítő szoftvert használtunk-e.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.