Kort bio

Angler var en av de ledende utnytte kits som brukes av nettkriminelle til å distribuere malware alt fra ransomware og banktrojanere til ad svindel. Som de fleste andre utnytte kits, det fokusert på web-baserte sårbarheter i nettlesere og deres plugins. Angler var en av de få utnytte kits i løpet av sin tid som tilbys fileless infeksjoner, der malware aldri berører disken og bare ligger i minnet for å unngå deteksjon. Angler har vært inaktiv siden juni 2016.

Historie

Når Blackhole,» king of exploit kits», forsvant i slutten av 2013, forlot det et tomrom i kriminelle undergrounds. Ikke lenger etter, en nykommer som heter Angler begynte å generere noen buzz. Det tok ikke lang tid å bli de facto exploit kit, takket være den generelle effektiviteten og evnen til å legge til nulldagssårbarheter i arsenalet.

Angler brukte sårbarheter I Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer og Flash.Det er bemerkelsesverdig at Angler også brukte ActiveX XLMDOM-sårbarheten (CVE-2013-7331) til fingeravtrykkssystemer. Denne teknikken brukes til å oppdage virtuelle maskiner, sandkasser og sikkerhetsverktøy som indikerer tilstedeværelsen av en sikkerhetsforsker og ikke en ekte sluttbruker.Angler benyttet Også En Diffie-Hellman krypteringsnøkkelutveksling for å gjøre hvert angrep unikt for et bestemt offer og for å hindre forsøk på å spille av pakkeopptak.

Av de grunner som er beskrevet ovenfor, Angler var en av de mest teknisk komplekse utnytte kits. I tillegg har utviklerne bak Angler vist stor dyktighet når det gjaldt å integrere de nyeste patched sårbarhetene, i løpet av dager, noen ganger timer, etter at de ble løst av de respektive programvareleverandørene.Endelig Var Angler veldig flink til å introdusere helt nye utnyttelser for upatchede sårbarheter, de såkalte nulldagene. Dette representerte en reell trussel mot forbrukere og bedrifter fordi det viser at selv patching ikke er nok i disse dager. Patching er allerede problematisk, så fremveksten av nulldager setter ting i perspektiv og krever en annen strategi for å bekjempe dem.

Vanlig infeksjonsmetode

Trafikk til Angler exploit kit kom fra malvertising og kompromitterte nettsteder. Trafikk omdirigering er en viktig del av hele utnytte kit økosystemet, og det er nære bånd mellom operatører av disse utnytte kits og folk (traffers) ansvarlig for kjøring fører til dem.infeksjonen skjedde via en prosess kjent som drive-by download, hvor en bruker som surfer på et legitimt nettsted (eller kompromittert) blir omdirigert til exploit kit-siden uten noen form for handling fra deres side. Noen ganger skjer omdirigeringen i bakgrunnen via en iframe, for eksempel, noe som gjør infeksjonsprosessen nesten usynlig fra sluttbrukeren.

hvis brukerens maskin var sårbar (eller selv om den ikke var, i tilfelle en nulldag), slippes et stykke skadelig programvare til disk eller injiseres direkte i minnet. Utnytte kits kan bli sett på som en leveringsmetode, et kjøretøy for alle typer malware infeksjon.

Tilknyttede familier

det har vært likheter mellom Angler EK og Hanjuan EK, et annet mer unnvikende utnyttelsessett. For eksempel, bruk av lignende krypteringsnøkler og de filløse nyttelastene.

Remediation

man kan ikke fjerne utnyttelsessettet selv, siden det egentlig bare er et verktøy for å infisere EN PC på et bestemt tidspunkt. Av denne grunn, utbedring avhenger av den faktiske malware som ble droppet, som i mange tilfeller er faktisk en kombinasjon av ulike biter av malware.

Aftermath

tegn på en infeksjon via en utnytte kit er ikke alltid opplagt hvis stykke malware er ment å være snikende(dvs. bank Trojan). I andre tilfeller vil brukeren raskt innse at noe har gått galt når skrivebordet er kapret med en melding som krever løsepenger for å dekryptere sine personlige filer.

Avoidance

Det er ingen reell måte å unngå utnytte kits fordi de er brakt på via malvertising selv på populære nettsteder. Gitt dette har vi alle blitt utsatt for utnyttelsessett på et eller annet tidspunkt, men om vi ble smittet eller ikke, avhenger av hvilken type utnyttelse som ble presset, og hvis vi brukte noen form for utnyttelsesreduserende programvare.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.