Short bio

Angler był jednym z wiodących zestawów exploitów używanych przez cyberprzestępców do dystrybucji złośliwego oprogramowania, od oprogramowania ransomware i trojanów bankowych po oszustwa reklamowe. Podobnie jak większość innych zestawów exploit, skupiał się na lukach internetowych w przeglądarkach i ich wtyczkach. Angler był jednym z niewielu zestawów exploitów w swoim czasie, który oferował infekcje bez plików, w których złośliwe oprogramowanie nigdy nie dotyka dysku i rezyduje tylko w pamięci, aby uniknąć wykrycia. Wędkarz jest nieaktywny od czerwca 2016 roku.

Historia

Kiedy Blackhole, „król exploitów”, zniknął pod koniec 2013 roku, pozostawił pustkę w podziemiach przestępczych. Niedługo potem pojawił się nowy wędkarz. Szybko stał się de facto exploit kit, dzięki swojej ogólnej skuteczności i możliwości dodawania luk zero-day do swojego arsenału.

Angler wykorzystał luki w Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer i Flash.

warto zauważyć, że wędkarz wykorzystał również lukę ActiveX XLMDOM (CVE-2013-7331) do systemów odcisków palców. Ta technika jest używana do wykrywania maszyn wirtualnych, piaskownic i narzędzi bezpieczeństwa, które wskazują na obecność badacza bezpieczeństwa, a nie prawdziwego użytkownika końcowego.

Angler wykorzystał również wymianę klucza szyfrującego Diffiego-Hellmana, aby każdy atak był unikalny dla konkretnej ofiary i udaremnić próby ponownego przechwycenia pakietów.

z powodów opisanych powyżej wędkarz był jednym z najbardziej skomplikowanych technicznie zestawów eksploatacyjnych. Ponadto twórcy Angler wykazali się dużymi umiejętnościami, jeśli chodzi o integrację najnowszych łatanych luk w ciągu kilku dni, czasami godzin, po ich usunięciu przez odpowiednich dostawców oprogramowania.

wreszcie, wędkarz był bardzo biegły we wprowadzaniu zupełnie nowych exploitów dla nieporównywalnych luk, tak zwanych zero-days. Stanowiło to prawdziwe zagrożenie dla konsumentów i przedsiębiorstw, ponieważ pokazuje, że nawet łatanie nie wystarczy w dzisiejszych czasach. Łatanie jest już problematyczne, więc pojawienie się zero-days stawia sprawy w perspektywie i wymaga innej strategii ich zwalczania.

popularna metoda infekcji

ruch na Angler exploit kit pochodził z malvertisingu i skompromitowanych stron internetowych. Przekierowanie ruchu jest istotną częścią całego ekosystemu zestawów exploit i istnieją ścisłe powiązania między operatorami tych zestawów exploit i ludźmi (handlarzami) odpowiedzialnymi za kierowanie do nich prowadzi.

infekcja nastąpiła poprzez proces znany jako drive-by download, gdzie użytkownik przeglądający legalną witrynę (lub skompromitowaną) jest przekierowywany na stronę zestawu exploit bez żadnych działań z ich strony. Czasami przekierowanie odbywa się w tle za pośrednictwem ramki iframe, co sprawia, że proces infekcji jest prawie niewidoczny dla użytkownika końcowego.

Jeśli maszyna Użytkownika była podatna na ataki (a nawet jeśli nie, w przypadku zero-day), kawałek złośliwego oprogramowania jest upuszczany na dysk lub wstrzykiwany bezpośrednio do pamięci. Exploit kits może być postrzegany jako metoda dostarczania, pojazd dla każdego rodzaju infekcji złośliwym oprogramowaniem.

powiązane rodziny

istnieją podobieństwa między wędkarzem EK i Hanjuan EK, innym bardziej nieuchwytnym zestawem exploit. Na przykład użycie podobnych kluczy szyfrowania i bezp? atnych? adunków.

Naprawa

nie można usunąć samego exploita, ponieważ jest to tak naprawdę tylko narzędzie do zainfekowania komputera w określonym czasie. Z tego powodu naprawienie zależy od rzeczywistego złośliwego oprogramowania, które zostało usunięte, co w wielu przypadkach jest w rzeczywistości kombinacją różnych fragmentów złośliwego oprogramowania.

następstwa

objawy infekcji za pomocą zestawu exploit nie zawsze są oczywiste, jeśli złośliwe oprogramowanie ma być ukryte (np. Trojan bankowy). W innych przypadkach użytkownik szybko zda sobie sprawę, że coś poszło nie tak, gdy jego pulpit zostanie porwany z wiadomością żądającą okupu za odszyfrowanie swoich osobistych plików.

unikanie

nie ma prawdziwego sposobu na uniknięcie exploitów, ponieważ są one wywoływane przez malvertising nawet na popularnych stronach internetowych. Biorąc to pod uwagę, wszyscy byliśmy narażeni na exploit Kit w takim czy innym punkcie, ale to, czy zostaliśmy zainfekowani, czy nie, zależy od rodzaju exploita, który został popchnięty, i czy używaliśmy jakiegokolwiek oprogramowania łagodzącego exploity.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.