kort bio

Angler var en av de ledande utnyttja kit som används av cyberbrottslingar att distribuera skadlig kod som sträcker sig från ransomware och banktrojaner till AD bedrägeri. Liksom de flesta andra exploit-kit fokuserade det på webbaserade sårbarheter i webbläsarna och deras plugins. Angler var ett av de få exploateringssatserna under sin tid som erbjöd fillösa infektioner, där skadlig kod aldrig berör disken och bara finns i minnet för att undvika upptäckt. Angler har varit inaktiv sedan juni 2016.

historia

När Blackhole,” King of exploit kits”, försvann i slutet av 2013, lämnade det ett tomrum i kriminella underjordiska. Inte längre efter, en nykomling som heter Angler började generera lite surr. Det tog inte lång tid att bli de facto exploit kit, tack vare dess övergripande effektivitet och förmåga att lägga till nolldagars sårbarheter i sin arsenal.

Angler använde sårbarheter i Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer och Flash.

det är anmärkningsvärt att Angler också använde ActiveX xlmdom-sårbarheten (CVE-2013-7331) till fingeravtryckssystem. Denna teknik används för att upptäcka virtuella maskiner, sandlådor och säkerhetsverktyg som indikerar närvaron av en säkerhetsforskare och inte en äkta slutanvändare.

Angler använde också en Diffie-Hellman krypteringsnyckelutbyte för att göra varje attack unik för ett visst offer och för att motverka försök att spela upp paketfångst.

av de skäl som beskrivs ovan var Angler ett av de mest tekniskt komplexa exploateringssatserna. Dessutom har utvecklarna bakom Angler visat stor skicklighet när det gäller att integrera de senaste patchade sårbarheterna, inom några dagar, ibland timmar, efter att de fixats av respektive programvaruleverantörer.

slutligen var Angler mycket skicklig på att introducera helt nya exploater för unpatched sårbarheter, de så kallade nolldagarna. Detta utgjorde ett verkligt hot mot konsumenter och företag eftersom det visar att även patching inte räcker idag. Patching är redan problematisk, så uppkomsten av nolldagar sätter saker i perspektiv och kräver en annan strategi för att bekämpa dem.

vanlig infektionsmetod

trafik till Angler exploit kit kom från malvertising och komprometterade webbplatser. Omdirigering av trafik är en viktig del av hela exploit kit-ekosystemet, och det finns nära band mellan operatörer av dessa exploit kit och människor (traffers) som ansvarar för att köra leder till dem.

infektionen inträffade via en process som kallas drive – by-nedladdning, där en användare som surfar på en legitim webbplats (eller komprometterad) omdirigeras till exploit kit-sidan utan någon form av åtgärd från deras sida. Ibland sker omdirigeringen i bakgrunden via en iframe, till exempel, vilket gör infektionsprocessen nästan osynlig från slutanvändaren.

om användarens maskin var sårbar (eller till och med om det inte var, i fallet med en nolldag), släpps en bit skadlig kod till disken eller injiceras direkt i minnet. Exploit kit kan ses som en leveransmetod, ett fordon för alla typer av malware infektion.

associerade familjer

det har funnits likheter mellan Angler EK och Hanjuan EK, en annan mer svårfångade utnyttja kit. Till exempel användningen av liknande krypteringsnycklar och de fillösa nyttolasterna.

Remediation

man kan inte ta bort exploit kit själv, eftersom det egentligen bara är ett verktyg för att infektera en dator vid en viss tidpunkt. Av denna anledning beror saneringen på den faktiska skadliga programvaran som tappades, vilket i många fall faktiskt är en kombination av olika skadliga program.

Aftermath

tecknen på en infektion via en exploit kit är inte alltid uppenbara om biten av skadlig kod är tänkt att vara smygande (dvs Bank Trojan). I andra fall kommer användaren snabbt att inse att något har gått fel när skrivbordet kapas med ett meddelande som kräver lösen för att dekryptera sina personliga filer.

undvikande

det finns inget riktigt sätt att undvika exploateringssatser eftersom de orsakas via malvertising även på populära webbplatser. Med tanke på detta har vi alla blivit utsatta för exploateringssatser vid en eller annan punkt, men om vi var smittade eller inte beror på vilken typ av exploatering som drevs, och om vi använde någon typ av exploateringsreduceringsprogramvara.

Lämna ett svar

Din e-postadress kommer inte publiceras.