Short bio

Angler was een van de toonaangevende exploit kits gebruikt door cybercriminelen om malware, variërend van ransomware en banking Trojans om ad fraude te verspreiden. Net als de meeste andere exploit kits, het gericht op web-based kwetsbaarheden in de browsers en hun plugins. Angler was een van de weinige exploit kits tijdens zijn tijd dat fileless infecties aangeboden, waar malware nooit raakt de schijf en alleen woont in het geheugen om detectie te voorkomen. Angler is sinds juni 2016 inactief.

geschiedenis

toen Blackhole, de “koning van exploit kits”, eind 2013 verdween, liet het een leegte achter in de criminele undergrounds. Niet langer daarna, een nieuwkomer genaamd Angler begon wat buzz te genereren. Het duurde niet lang om de de facto exploit kit geworden, dankzij de algehele effectiviteit en het vermogen om zero-day kwetsbaarheden toe te voegen in zijn arsenaal.

Angler gebruikte kwetsbaarheden in Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer en Flash.

Het is opmerkelijk dat Angler ook de ActiveX XLMDOM kwetsbaarheid (CVE-2013-7331) gebruikt om vingerafdruk systemen. Deze techniek wordt gebruikt om virtuele machines te detecteren, sandboxes, en security tools die de aanwezigheid van een security-onderzoeker en niet een echte eindgebruiker aan te geven.

Angler gebruikte ook een Diffie-Hellman encryptiesleutel uitwisseling om elke aanval uniek te maken voor een bepaald slachtoffer en om pogingen om pakketopnames opnieuw af te spelen te dwarsbomen.

om de hierboven beschreven redenen was Angler een van de technisch meest complexe exploit kits. Bovendien, de ontwikkelaars achter Angler hebben grote vaardigheid aangetoond als het ging om het integreren van de nieuwste patched kwetsbaarheden, in een kwestie van dagen, soms uren, nadat ze werden vastgesteld door de respectieve software leveranciers.

ten slotte was Angler zeer bedreven in het introduceren van gloednieuwe exploits voor ongepatchte kwetsbaarheden, de zogenaamde zero-days. Dit vormde een echte bedreiging voor consumenten en bedrijven, omdat het laat zien dat zelfs patchen tegenwoordig niet genoeg is. Patchen is al problematisch, dus de opkomst van zero-days plaatst dingen in perspectief en vereist een andere strategie om ze te bestrijden.

gemeenschappelijke infectiemethode

verkeer naar de Angler exploit kit kwam van malvertising en gecompromitteerde websites. Traffic redirection is een essentieel onderdeel van de hele exploit kit ecosysteem, en er zijn nauwe banden tussen de exploitanten van deze exploit kits en mensen (traffers) verantwoordelijk voor het rijden leidt tot hen.

de infectie gebeurde via een proces dat bekend staat als drive-by download, waar een gebruiker surfen op een legitieme site (of gecompromitteerd een) wordt doorgestuurd naar de exploit kit pagina zonder enige vorm van actie van hun kant. Soms gebeurt de omleiding op de achtergrond via een iframe, bijvoorbeeld, het maken van de infectie proces bijna onzichtbaar van de eindgebruiker.

als de machine van de gebruiker kwetsbaar was (of zelfs als dat niet het geval was, in het geval van een zero-day), wordt een stuk malware op de schijf geplaatst of direct in het geheugen geïnjecteerd. Exploit kits kan worden gezien als een levering methode, een voertuig voor elk type van malware-infectie.

Geassocieerde families

Er zijn overeenkomsten tussen Angler EK en Hanjuan EK, een andere ongrijpbare exploit kit. Bijvoorbeeld, het gebruik van soortgelijke encryptiesleutels en de fileless payloads.

herstel

men kan de exploit kit zelf niet verwijderen, omdat het eigenlijk gewoon een hulpmiddel is om een PC op een bepaald moment te infecteren. Om deze reden, sanering is afhankelijk van de werkelijke malware die werd gedropt, die in veel gevallen is eigenlijk een combinatie van verschillende stukken van malware.

Aftermath

de tekenen van een infectie via een exploit kit zijn niet altijd duidelijk als het stuk malware is bedoeld om stealthy (dat wil zeggen banking Trojan). In andere gevallen, de gebruiker zal snel beseffen dat er iets mis is gegaan wanneer hun bureaublad is gekaapt met een bericht eist een losgeld om hun persoonlijke bestanden te decoderen.

vermijden

Er is geen echte manier om exploit kits te vermijden, omdat ze via malvertising zelfs op populaire websites worden gebracht. Gezien dit, we zijn allemaal blootgesteld aan exploit kits op een bepaald punt of een ander, maar of we waren besmet of niet afhankelijk van het type exploit dat werd geduwd, en als we met behulp van elk type exploit mitigation software.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.