short bio

Angler a fost unul dintre cele mai importante kituri de exploatare utilizate de infractorii cibernetici pentru a distribui malware, de la ransomware și troieni bancari până la fraude publicitare. La fel ca majoritatea celorlalte kituri de exploatare, s-a concentrat pe vulnerabilitățile bazate pe web din browsere și pluginurile lor. Angler a fost unul dintre puținele kituri de exploatare în timpul său care a oferit infecții fără fișiere, unde malware-ul nu atinge niciodată discul și se află doar în memorie pentru a evita detectarea. Angler a fost inactiv din iunie 2016.

Istorie

când Blackhole, „regele kiturilor de exploatare”, a dispărut la sfârșitul anului 2013, a lăsat un gol în subteranele criminale. Nu mai mult după, un nou venit numit pescar a început să genereze unele buzz. Nu a durat mult să devină kitul de exploatare de facto, datorită eficacității sale generale și capacității sale de a adăuga vulnerabilități zero-day în arsenalul său.

Angler folosit vulnerabilități în Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer și Flash.

este demn de remarcat faptul că Angler a folosit și vulnerabilitatea ActiveX XLMDOM (CVE-2013-7331) la sistemele de amprentă. Această tehnică este utilizată pentru a detecta mașini virtuale, cutii de nisip și instrumente de securitate care indică prezența unui cercetător de securitate și nu a unui utilizator final autentic.

Angler a folosit, de asemenea, un schimb de chei de criptare Diffie-Hellman pentru a face fiecare atac unic pentru o anumită victimă și pentru a contracara încercările de reluare a capturilor de pachete.

Din motivele descrise mai sus, Angler a fost unul dintre cele mai complexe kituri de exploatare din punct de vedere tehnic. În plus, dezvoltatorii din spatele Angler au arătat o mare abilitate atunci când a venit vorba de integrarea celor mai recente vulnerabilități patch-uri, în câteva zile, uneori ore, după ce au fost remediate de furnizorii de software respectivi.

în cele din urmă, Angler a fost foarte priceput să introducă noi exploit-uri pentru vulnerabilități nepatchate, așa-numitele zero-days. Acest lucru a reprezentat o amenințare reală pentru consumatori și întreprinderi, deoarece arată că chiar și patch-urile nu sunt suficiente în aceste zile. Patching-ul este deja problematic, astfel încât apariția zilelor zero pune lucrurile în perspectivă și necesită o strategie diferită pentru a le combate.

metoda comună de infectare

traficul către kit-ul de exploatare Angler a venit de la site-uri web malvertising și compromise. Redirecționarea traficului este o parte esențială a întregului ecosistem de kituri de exploatare și există legături strânse între operatorii acestor kituri de exploatare și persoanele (traficanții) responsabile de conducerea conducătorilor către acestea.

infecția s-a produs printr-un proces cunoscut sub numele de descărcare drive-by, în care un utilizator care navighează pe un site legitim (sau compromis) este redirecționat către pagina exploit kit fără niciun fel de acțiune din partea lor. Uneori redirecționarea se întâmplă în fundal printr-un iframe, de exemplu, făcând procesul de infecție aproape invizibil de la utilizatorul final.

dacă mașina utilizatorului era vulnerabilă (sau chiar dacă nu era, în cazul unei zile zero), o bucată de malware este aruncată pe disc sau injectată direct în memorie. Kiturile de exploatare pot fi văzute ca o metodă de livrare, un vehicul pentru orice tip de infecție malware.

familii asociate

au existat asemănări între Angler EK și Hanjuan EK, un alt kit de exploatare mai evaziv. De exemplu, utilizarea cheilor de criptare similare și a sarcinilor utile fără fișiere.

remediere

nu se poate elimina kit exploit în sine, deoarece este într-adevăr doar un instrument pentru a infecta un PC la un anumit moment. Din acest motiv, remedierea depinde de malware-ul real care a fost abandonat, care în multe cazuri este de fapt o combinație de diferite bucăți de malware.

Aftermath

semnele unei infecții prin intermediul unui kit de exploatare nu sunt întotdeauna evidente dacă bucata de malware este menită să fie ascunsă (adică troianul bancar). În alte cazuri, utilizatorul își va da seama rapid că ceva nu a mers bine atunci când desktopul său este deturnat cu un mesaj care cere o răscumpărare pentru a decripta fișierele personale.

evitarea

nu există nici o modalitate reală de a evita exploit kituri, deoarece acestea sunt aduse la prin malvertising chiar și pe site-uri populare. Având în vedere acest lucru, toți am fost expuși la kituri de exploatare la un moment dat sau altul, dar dacă am fost infectați sau nu depinde de tipul de exploatare care a fost împins și dacă folosim orice tip de software de atenuare a exploatării.

Lasă un răspuns

Adresa ta de email nu va fi publicată.