Short bio

Angler foi um dos principais kits de exploração usados pelos criminosos cibernéticos para distribuir malware que vão desde ransomware e Trojans bancários até fraude. Como a maioria dos outros kits exploit, focou-se em vulnerabilidades baseadas na web nos navegadores e seus plugins. Angler foi um dos poucos kits de exploração durante seu tempo que ofereceu infecções sem fio, onde malware nunca toca o disco e só reside na memória para evitar a detecção. Angler está inativo desde junho de 2016.

história

quando Blackhole, o” king of exploit kits”, desapareceu no final de 2013, deixou um vazio nos subterrâneos criminosos. Não mais depois, um recém-chegado chamado Angler começou a gerar algum zumbido. Não demorou muito para se tornar o kit de exploração de facto, graças à sua eficácia geral e capacidade de adicionar vulnerabilidades de dia zero em seu arsenal.

Angler usou vulnerabilidades no Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer e Flash.

é notável que Angler também usou a vulnerabilidade Ativex XLMDOM (CVE-2013-7331) para sistemas de impressões digitais. Esta técnica é usada para detectar máquinas virtuais, caixas de areia e ferramentas de segurança que indicam a presença de um pesquisador de segurança e não um usuário final genuíno.

Angler também utilizou uma troca de chave de criptografia Diffie-Hellman para fazer cada ataque exclusivo para uma vítima em particular e para frustrar as tentativas de repetição de capturas de pacotes.pelas razões acima descritas, Angler foi um dos kits de exploração mais complexos do ponto de vista técnico. Além disso, os desenvolvedores por trás de Angler mostraram grande habilidade quando se tratava de integrar as mais recentes vulnerabilidades remendadas, em questão de dias, às vezes horas, depois que eles foram corrigidos pelos respectivos fornecedores de software.finalmente, Angler foi muito hábil em introduzir novas façanhas para vulnerabilidades sem igual, os chamados “zero-days”. Isto representou uma verdadeira ameaça para os consumidores e para as empresas, porque mostra que nem mesmo o remendar é suficiente nos dias de hoje. O Patching já é problemático, por isso o surgimento de zero dias coloca as coisas em perspectiva e requer uma estratégia diferente para combatê-las.

método de infecção comum

tráfego para o Kit de exploração de Pescador veio de malvertising e sites comprometidos. O redirecionamento do tráfego é uma parte essencial de todo o ecossistema de kit exploit, e existem laços estreitos entre os operadores destes kits de exploração e as pessoas (trafficers) responsáveis pela condução leva a eles.

a infecção aconteceu através de um processo conhecido como drive-by download, onde um usuário navegando em um site legítimo (ou comprometido) é redirecionado para a página explore kit sem qualquer tipo de ação de sua parte. Às vezes, o redirecionamento acontece em segundo plano através de um iframe, por exemplo, tornando o processo de infecção quase invisível do usuário final.

Se a máquina do Usuário era vulnerável (ou mesmo se não fosse, no caso de um dia zero), um pedaço de malware é deixado em disco ou injetado diretamente na memória. Exploit kits pode ser visto como um método de entrega, um veículo para qualquer tipo de infecção por malware.

famílias associadas

tem havido semelhanças entre Angler EK e Hanjuan EK, outro kit de exploração mais elusivo. Por exemplo, o uso de chaves de criptografia similares e as cargas sem arquivos.

remediação

não se pode remover o próprio kit de exploração, uma vez que é realmente apenas uma ferramenta para infectar um PC em determinado momento. Por esta razão, a remediação depende do malware real que foi deixado cair, que em muitos casos é realmente uma combinação de várias peças de malware.

Aftermath

the signs of an infection via an exploit kit are not always obvious if the piece of malware is meant to be stealthy (i.e. banking Trojan). Em outros casos, o usuário vai rapidamente perceber que algo correu mal quando seu desktop é sequestrado com uma mensagem exigindo um resgate para descriptografar seus arquivos pessoais.

evitar

não há nenhuma maneira real de evitar kits de exploração porque eles são trazidos através de malvertising mesmo em sites populares. Dado isso, todos nós fomos expostos a explorar kits em um ponto ou outro, mas se fomos infectados ou não depende do tipo de exploração que foi empurrado, e se estávamos usando qualquer tipo de software de mitigação de exploração.

Deixe uma resposta

O seu endereço de email não será publicado.