Short bio

Anglerは、ランサムウェアや銀行トロイの木馬から広告詐欺までのマルウェアを配布するためにサイバー犯罪者が使用する主要なエクスプロイトキットの一つでした。 他のほとんどのエクスプロイトキットと同様に、ブラウザとそのプラグインのwebベースの脆弱性に焦点を当てました。 アングラーは、マルウェアがディスクに触れることはなく、検出を避けるためにメモリにのみ存在するファイルレス感染を提供していた数少ないエクスプロイトキットの一つであった。 2016年6月から活動を休止している。

歴史

2013年後半に”エクスプロイトキットの王”であるブラックホールが姿を消したとき、それは犯罪者の地下に空隙を残しました。 もはや後に、釣り人と呼ばれる新人は、いくつかの話題を生成し始めました。 その全体的な有効性とゼロデイ脆弱性を武器に追加する能力のおかげで、事実上のエクスプロイトキットになるまでに時間はかかりませんでした。

アングラーは、Internet Explorer、Silverlight、Flash Player、Adobe Reader、Java、Internet Explorer、Flashの脆弱性を使用しました。注目すべきは、AnglerがActiveX XLMDOMの脆弱性(CVE-2013-7331)を使用してシステムを指紋認証することでした。 この手法は、本物のエンドユーザーではなく、セキュリティ研究者の存在を示す仮想マシン、サンドボックス、およびセキュリティツールを検出するために

Anglerはまた、Diffie-Hellman暗号化キー交換を利用して、各攻撃を特定の犠牲者に固有にし、パケットキャプチャの再生試行を阻止しました。

上記の理由から、アングラーは最も技術的に複雑なエクスプロイトキットの一つでした。 さらに、Anglerの背後にある開発者は、それぞれのソフトウェアベンダーによって修正された後、数日、時には数時間で、最新のパッチを適用した脆弱性を統合

最後に、Anglerはパッチが適用されていない脆弱性、いわゆるゼロ日のためのブランドの新しいエクスプロイトを導入することに非常に熟達してい それも、パッチ適用は、これらの日では十分ではないことを示しているので、これは、消費者や企業に本当の脅威を表しました。 パッチ適用はすでに問題があるので、ゼロ日の出現は物事を視点に置き、それらに対抗するために別の戦略を必要とします。

一般的な感染方法

Angler exploit kitへのトラフィックは、悪意のあるwebサイトや侵害されたwebサイトから来ました。 トラフィックリダイレクトは、エクスプロイトキット全体のエコシステムの不可欠な部分であり、これらのエクスプロイトキットのオペレーターと、それらにリードを駆動する担当者(人身売買)との間に密接な関係があります。

感染は、ドライブバイダウンロードとして知られているプロセスを介して発生しました,正当なサイトを閲覧したユーザー(または侵害されたもの)自分の側にアクションの任意の並べ替えなしでエクスプロイトキットのページにリダイレクトされます. 場合によっては、リダイレクトがiframeを介してバックグラウンドで発生することがあり、たとえば、感染プロセスがエンドユーザーからほとんど見えな

ユーザーのマシンが脆弱であった場合(またはそうでなかった場合でも、ゼロデイの場合)、マルウェアの一部がディスクにドロップされるか、メモリに直 エクスプロイトキットは、配信方法、マルウェア感染の任意のタイプのための車両として見ることができます。

関連する家族

アングラー EKとHanjuan EK、別のよりとらえどころのないエクスプロイトキットの間に類似点がありました。 たとえば、同様の暗号化キーとファイルレスペイロードを使用します。

Remediation

特定の時間にPCに感染するためのツールであるため、exploit kit自体を削除することはできません。 このため、修復は削除された実際のマルウェアに依存しますが、多くの場合、実際にはさまざまなマルウェアの組み合わせです。

Aftermath

マルウェアの一部がステルス(つまり銀行トロイの木馬)であることを意図している場合、エクスプロイトキットを介した感染の兆候は常に明 他のケースでは、ユーザーは自分のデスクトップが自分の個人的なファイルを復号化するために身代金を要求するメッセージでハイジャックされたときに何かが間違っていたことをすぐに認識します。

回避

彼らは人気のあるウェブサイト上でもmalvertisingを介してもたらされるので、エクスプロイトキットを回避する本当の方法はありません。 このことを考えると、私たちは皆、ある時点でエクスプロイトキットにさらされていますが、感染したかどうかは、プッシュされたエクスプロイトの種類と、エクスプロイト緩和ソフトウェアを使用していたかどうかによって異なります。

コメントを残す

メールアドレスが公開されることはありません。