Tässä on ollut paljon puhetta Angler exploit kit viime aikoina, mutta, useimmille ihmisille, varoitukset eivät iske sointua. Eivätkä he todellakaan ole syyllisiä.
Ei kaikilla ole aikaa googlettaa ”Angler exploit kit” ja lukea 4-5 artikkelia ymmärtääkseen, mistä on kyse. Eikä se, että suurin osa aihetta käsittelevistä artikkeleista on teknisiä analyysejä, auta asiaa.
Siten lähdimme luomaan Angler exploit kitin perimmäistä opasta ei-teknisille ihmisille, artikkelia, joka selittää perusasiat:
Mitä exploit-kitit ovat
Miksi Angler erottuu exploit-kittien joukosta
Sen tärkeimmät ominaisuudet
Miten Angler leviää
Mitä virustorjuntaohjelmasi voi( ei) tehdä. Anglerista
Anglerin toiminnan viimeaikainen kehitys
Miten pidät järjestelmäsi turvassa Anglerilta
Luettelo teknisistä analyyseistä niille, jotka haluavat syventyä aiheeseen.
Mutta miksi minun pitää tietää nämä asiat?
Reilu kysymys. Vastaus on yksinkertainen: koska sinäkin olet kohde.
Kuten huomaat, sinun ei tarvitse olla rikas, kuuluisa, poliitikko tai urheilija joutuaksesi tietoverkkorikoksen uhriksi. Riittää, että sinulla on internet-yhteys ja käytät sitä. Muuta ei valitettavasti tarvita.
Mutta se ei tarkoita, että olet puolustuskyvytön. Au contraire, jo se, että luet tätä, tekee sinusta fiksumman ja tietoisemman kuin verkkorikolliset haluavat sinun olevan. Jatka siis selaamista ja tarjoa heille odottamaton yllätys.
Hyökkäyspaketti (exploit kit) on työväline, jota tietoverkkorikolliset käyttävät hyödyntääkseen järjestelmäsi haavoittuvuuksia ja tartuttaakseen siihen haittaohjelmia.
Hyökkäyspaketti (exploit kit) on pohjimmiltaan koodinpätkä, joka on kehitetty haitallisiin tarkoituksiin. Se avaa kanavan, jota verkkorikolliset voivat käyttää kommunikoidakseen järjestelmäsi kanssa ja syöttääkseen sille koodeja, jotka sisältävät erityyppisiä komentoja.
Kuten huomaat, exploit-paketit ovat iso bisnes verkkorikollisten maailmassa. Tästä kaikki alkoi:
Ensimmäinen kirjattu exploit-kit-hyökkäys voitiin jäljittää vuodelta 2006, jolloin käytettiin WebAttacker-kittiä. Tämä oli ensimmäinen exploit-kitti, joka löytyi Venäjän maanalaisilta markkinoilta. Sen mukana tuli tekninen tuki, ja sitä myytiin 20 dollarilla.
Lähde: Evolution of Exploit Kits by Trend Micro
Hyökkääjä suunnittelee exploit kitin suorittamaan ainakin kolme keskeistä toimintoa:
Toteuttamaan haitallista koodia järjestelmässäsi, mikä tarkoittaa periaatteessa sitä, että se kykenee asentamaan haittaohjelmia laitteellesi.
Hyökkäyspaketti kohdistuu yleensä selaimiin tai muihin ohjelmiin, joita verkkosivusto voi kutsua minkä tahansa selaimen kautta (Adobe Reader, Java Runtime Environment, Adobe Flash Player jne.).
Hyökkäyspaketit sisältävät joukon komentoja, jotka voivat saada järjestelmän käyttäytymään epänormaalisti. Niitä voidaan käyttää häiritsemään toimintaa ohjelmistoissa, laitteistoissa ja kaikessa muussa elektronisessa.
Mutta muista: se ei tarkoita, että jos järjestelmäsi on saanut tartunnan, voisit selvittää sen itse.
Jos voisimme nähdä nämä tartunnat paljain silmin, niiden pysäyttäminen olisi paljon helpompaa. Mutta se laiva on purjehtinut joskus 90-luvulla, eikä se ole enää niin yksinkertaista.
Esimerkki:
Klikkaat Googlen hakutulosta etsien lisätietoja GoPro-kamerasta. Päädyt blogiin, joka tarjoaa arvostelua, joten selaat sitä, mutta suljet sen jälkeen.
Sivustolla ollessasi näet, miten tartunta voi tapahtua alle sekunnissa:
Hyökkääjät ohjaavat selaimesi haitalliselle verkkosivustolle, joka isännöi exploit-kittiä (tätä kutsutaan drive-by-hyökkäykseksi)
Hyökkäyspaketti jatkaa sitten selaimesi skannaamista nähdäkseen, onko selaimessasi tietoturva-aukkoja
Olet ehkä jättänyt asentamatta viimeisimpiä Java-päivityksiä (nyökkäile hiljaa, jos vihaat niitäkin – et ole yksin)
Sillä selaimesi Java-plugin on haavoittuva, siinä oleva tietoturva-aukko voi antaa exploit kitille väylän järjestelmääsi
Tässä exploit kit voi pudottaa hyötykuorman, joka on haittaohjelman osa, joka suorittaa haitallisen toiminnon
Hyötykuorma jatkaa sitten soveltamaan sitä, mitä se on ohjelmoitu tekemään: kerätä taloudellisia tietojasi (luottokorttitietojasi, verkkopankkien salasanoja ja käyttäjätunnuksia jne.), salaa tietosi ja pyytää lunnaita tai muita toimia, jotka esittelemme myöhemmin.
Lyhyesti sanottuna, näin verkkorikolliset käyttävät hyväkseen järjestelmässäsi olevia tietoturva-aukkoja, jotta he voivat tunkeutua järjestelmääsi ja suorittaa hyökkäyksensä. Ne eivät vaadi sinulta käyttäjänä mitään panosta, ja koko prosessi on näkymätön. Mutta tähän tarinaan liittyy tietenkin muutakin.
Olet ehkä huomannut, että missään tässä prosessissa en ole maininnut virustorjunnan käynnistymistä. Tähän on 2 syytä:
Valitettavasti kaikilla ei ole virustorjuntaa asennettuna, mikä tekee näistä käyttäjistä käveleviä kohteita
Yleisimmin käytetyt exploit-paketit ovat niin kehittyneitä, että ne onnistuvat välttämään virustorjuntatuotteiden havaitsemisen. Jatka lukemista saadaksesi selville miksi.
On olemassa tiettyjä exploit-kittejä, joista on tullut pahamaineisia niiden kykyjen vuoksi. Siksi niitä käytetään joidenkin kehittyneimpien haittaohjelmien toimittamiseen.
Mitä nämä exploit-kitit voivat tehdä, saa sinut haluamaan noudattaa joitakin verkkoturvallisuuden perussääntöjä, jotka olemme laatineet sinulle tämän artikkelin lopussa. Katso vain viime vuosina luotujen uusien exploit-pakettien määrän kasvua!
Lähde: Evolution of Exploit Kits by Trend Micro
Miksi Angler erottuu edukseen exploit-kittien joukosta?
Ensimmäisen kerran vuonna 2013 tunnistettu Angler on yksi pahamaineisimmista kyberhyökkäyksissä käytetyistä exploit-kiteistä. Lyhyen historiansa aikana Angler on saanut jalansijaa erityisominaisuuksiensa ansiosta. Se on levittänyt lunnasohjelmia, se on ollut mukana haittamainonnassa ja jopa hacktivismikampanjoissa.
Vuonna 2014 se oli toiseksi käytetyin exploit kit vuoden 2015 Trustwave Global Security Reportin mukaan. Sen osuus tartunnoista oli 17 prosenttia, kun taas Nuclear, eniten käytetty exploit kit, tuotti 23 prosenttia tartunnoista.
Maaliskuusta 2015 lähtien Angler on aktivoitunut entisestään. Heimdal Securityn tiimimme sekä monet muut tutkijat ovat havainneet exploit kitin analyyseissään.
Lähde: Sophosin ”A closer look at the Angler exploit kit”
Lisäksi Ciscon Midyear Security Report -raportin mukaan vuonna 2015 Angler aiheutti 40 prosenttia käyttäjien tunkeutumisesta tähän mennessä havaituissa kyberhyökkäyksissä.
Kuten selvästi näkyy, Angler hallitsee tällä hetkellä exploit kit -markkinoita ja on ollut erityisen aktiivinen viime kuukausina.
Lähde: Trend Micro, ”Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”
Mutta nämä Angler-haavoittuvuussarjatilastot eivät yksinään anna kokonaiskuvaa. Tärkeää on joukko tekijöitä, jotka saivat Anglerin saavuttamaan niin laajan levinneisyyden ja korkean käyttöasteen. Uutiset Anglerista leviävät kulovalkean tavoin kyberturvallisuusyhteisössä sen vuoksi, mihin tämä exploit-kitti pystyy.
Angler johtaa edelleen exploit-kit-markkinoita kokonaisvaltaisen kehittyneisyyden ja tehokkuuden suhteen.
Angler- exploit-kitin huippuominaisuudet
On monia syitä siihen, miksi Angler sijoittuu niin korkealle kyberrikollisten mieltymysten joukossa. Olemme yrittäneet koota joitakin niistä tähän, menemättä liikaa teknisiin yksityiskohtiin. Niille, jotka haluavat sukeltaa syvemmälle aiheeseen, löydät artikkelin lopusta luettelon teknisistä analyyseistä.
Tässä on siis, mitä pahamaineinen Angler-haittaohjelmapaketti voi tehdä:
Hyökkääjät, joilla ei ole syvällistä teknistä tietämystä, voivat käyttää sitä helposti.
Hyökkääjät, jotka eivät ole tietotekniikka- tai tietoturva-asiantuntijoita, voivat hankkia hyökkäyspaketin verkosta. Heidän ei tarvitse osata luoda kittiä itse, ja he voivat silti hyötyä kitin käytöstä.
Joskus Anglerin kaltaisissa exploit-kiteissä on jopa käyttäjäystävällinen käyttöliittymä. Sen avulla hyökkääjä voi seurata haittaohjelmakampanjan kehittymistä ja säätää asetuksia tehokkaampien tulosten aikaansaamiseksi.
Viis veikkaan, ettet uskonut sen olevan näin helppoa…
Se myydään kyberrikollisissa piireissä, ja se on kenen tahansa ostettavissa.
Cybercrime-as-a-service ei ole uusi asia, ja olemme puhuneet siitä jo jonkin aikaa. Anglerin kaltaisia exploit-kittejä myydään kyberrikollisissa piireissä hyvään hintaan. Sophos spekuloi, että käytössä saattaa olla jopa ”pay-per-install” -maksumalli, jossa Anglerin luojat veloittavat hyökkääjiä vain onnistuneista haittaohjelmatartunnoista.
Tehdäkseen exploit-kitistä vieläkin houkuttelevamman, sen luojat jopa esilataavat siihen haavoittuvuuksia, jolloin se on valmis käyttöönotettavaksi.
Sen voi ohjelmoida suorittamaan valtavan määrän toimintoja.
Angler on erittäin monipuolinen exploit-kitti. Verkkorikolliset voivat ohjeistaa kitin:
keräämään luottamuksellisia tietoja (käyttäjätunnuksia, salasanoja, korttitietoja jne.) ja lataamaan ne hallitsemiinsa palvelimiin
tai sitomaan tartunnan saaneen järjestelmän bottiverkkoon (lisähyökkäyksien tekemiseen käytettävien tietokoneiden ns. zombiarmeijaan)
.
esimerkiksi seuraavanlaisia haittaohjelmia Angler asensi haavoittuviin järjestelmiin drive-by-hyökkäysten kautta huhtikuussa 2015:
Lähde: Sophos, ”A closer look at the Angler exploit kit”
Se keskittyy vanhentuneiden ohjelmistojen haavoittuvuuksiin.
Jo pelkästään tämä tekijä on suuri syy siihen, miksi Angler on niin menestyksekäs asentamaan haittaohjelmia käyttäjien tietokoneisiin.
Kuinka monta kertaa olet jättänyt huomioimatta päivityksen jostakin sovelluksestasi tai käyttöjärjestelmästäsi?
Me kaikki olemme tehneet niin. Miljoonat Internet-käyttäjät tekevät sitä edelleen päivittäin monista syistä, jotka eivät ole juuri nyt tärkeitä.
Mikä ON tärkeää, on se, että Angler käyttää hyväkseen kaikkia näitä järjestelmässäsi olevia tietoturva-aukkoja. Ja niitä on paljon!
Kuten eräs tietoverkkoturva-asiantuntija kerran sanoi, tietoverkkorikollisten on löydettävä vain yksi haavoittuvuus, mutta meidän on paikattava ne kaikki.
Se integroi uusia haavoittuvuuksia nopeasti!
Anglerin suosio kasvoi, koska sen kehittäjät pystyvät lisäämään hyväksikäyttöjä uusiin haavoittuvuuksiin hyvin nopeasti. Kun nollapäivän haavoittuvuus tulee markkinoille, Angler integroi sen ensimmäisten joukossa, varsinkin jos kyseessä on Flash.
Tässä ovat esimerkiksi Ciscon vuoden 2015 ensimmäisellä puoliskolla tunnistamat yleisimmät haittaohjelmavektorit:
Lähde: Cisco 2015 Midyear Security Report
Flashilla on jo nyt yksi huonoimmasta maineesta ohjelmistohaavoittuvuuksien suhteen. Niinpä on luonnollista, että Anglerin takana oleva tiimi tarkastelee sitä ensimmäisenä, koska Flash tarjoaa niin paljon tietoturva-aukkoja hyödynnettäväksi.
Koska se on niin mukautuva, tekijät voivat lisätä uusia haavoittuvuuksia Angleriin sekä poistaa olemassa olevia hyvin nopeasti. Tämä tekee siitä ensisijaisen ostokohteen kyberrikollisissa piireissä.
Se yrittää kiertää havaitsemista tartunnan jokaisessa vaiheessa.
Innovointi on avainasemassa Anglerin ja sen kehityksen kannalta. Sen luojat näyttävät ottavan tämän hyvin vakavasti, koska he muokkaavat jatkuvasti taktiikkaansa välttääkseen tietoturvatuotteiden, erityisesti virustorjuntaohjelmien, havaitsemisen.
Lyhyesti sanottuna näin se toimii (tässä voi mennä hieman tekniseksi, mutta ei liikaa):
Taustansuodatuksen välttämiseksi se vaihtaa nopeasti isäntänimiä ja IP-numeroita sekä käyttää verkkotunnusten varjostusta laillisten verkkotunnusten porsasteluun. Sisällön havaitsemisen kiertämiseksi Angleriin osallistuvat komponentit luodaan dynaamisesti kullekin potentiaaliselle uhrille käyttäen erilaisia koodaus- ja salaustekniikoita. Lopuksi Angler käyttää hämäystä ja hiekkalaatikon vastaisia temppuja estääkseen näytteiden keräämisen ja analysoinnin.
Lähde: Sophos, ”A closer look at the Angler exploit kit”
Verkkorikolliset Anglerin takana ajattelivat jokaista pientä yksityiskohtaa suunnitellessaan tätä exploit-kittiä. Siksi sen havaitseminen kestää niin kauan ja siksi virustorjuntaohjelmasi ei voi suojata sinua Anglerin toimittamilta haittaohjelmatartunnoilta.
Alhaalla lisää aiheesta.
Se voi toimittaa ”näkymättömiä” haittaohjelmatartuntoja.
Angleria hyödynnetään usein drive-by-hyökkäyksissä, joita käsiteltiin artikkelin alussa.
Näistä hyökkäyksistä:
Drive-by-hyökkäykset tapahtuvat, kun laskeudut vaarantuneelle verkkosivulle, johon verkkorikolliset ovat lisänneet haitallista koodia. Sinut voidaan joko ohjata toiselle verkkosivulle, joka isännöi exploit-kittiä, tai saat varoituksen, joka sinun on klikattava sivuuttaaksesi sen.
Kummassakaan tapauksessa hyökkäys ei ole lainkaan ilmeinen. Tämä johtuu erityisesti siitä, että virustorjunta ei käynnisty. Siksi drive-by-hyökkäykset ovat pahimpia, eikä useimmilla Internet-käyttäjillä ole aavistustakaan siitä, että niitä edes on olemassa tai että niitä voi tapahtua.
Lisäksi Angler voi toimittaa ”tiedostottomia” tartuntoja, mikä tarkoittaa sitä, että koko prosessin aikana hyökkääjät eivät lataa tietokoneellesi yhtään tiedostoa. Perinteiset virustorjuntatuotteet tutkivat tiedostojasi haittaohjelmatartuntojen havaitsemiseksi. Mutta jos skannattavaa tiedostoa ei ole, se vain päättelee, että tartuntaa ei myöskään ole.
Toinen tekijä, joka vaikuttaa Anglerin menestykseen, on sen käyttämä salattu hyötykuorma. Hyötykuorma edustaa hyökkääjän komentoja. Jotta virustorjunta voisi estää tartunnan, sen on ensin purettava hyötykuorma. Sitten sen on analysoitava se, asetettava se karanteeniin ja poistettava se.
Sillä välin, kun virustorjunta yrittää tehdä kaiken tämän, haittaohjelma on jo asennettu järjestelmään ja se on jo poimimassa tietoja tai tekemässä sitä, mitä sen on käsketty tehdä.
Sentähden perinteinen virustorjuntatuotteesi voi tarvita jopa muutaman päivän, ennen kuin se varoittaa, että järjestelmässäsi on tartunta. Siihen mennessä tietosi ovat jo verkkorikollisten käsissä. Tai salattuna ja odottamassa, että maksat satoja dollareita salauksen purkamisesta.
Lähde: Cisco 2015 Midyear Security Report
Kuten tämä esimerkki Trustwave Global Security Report 2015 -raportista osoittaa:
Se sisälsi jopa oman nollapäivänsä Adobe Flash -ohjelmalle (CVE-2015-0313/CVE-2015-0311), joka jäi havaitsematta kahden kuukauden ajan.
Sen levitystaktiikan vuoksi sitä on vaikea estää.
Verkkorikolliset tietävät, että avain tutkan alapuolella lentämiseen on liikkua nopeasti.
Näin he onnistuvat levittämään Angleria ja pitämään samalla henkilöllisyytensä anonyyminä:
He etsivät verkkopalvelimia, jotka he voivat vaarantaa.
He periaatteessa hakkeroituvat näillä palvelimilla isännöityihin verkkosivustoihin.
Kun he ovat saaneet palvelimen hallintaansa, he luovat massiivisia määriä Anglerilla ladattuja aliverkkotunnuksia.
He lähettävät uhreja roskapostikampanjoiden tai haittamainontakampanjoiden kautta näille aliverkkotunnuksille, joissa he saavat Anglerin tartunnan.
He jatkavat infrastruktuurinsa vakiinnuttamista jatkuvasti (lue lisää Anglerin infrastruktuurista).
Ongelma on se, että näitä aliverkkotunnuksia luodaan valtavia määriä, niiden elinikä on hyvin lyhyt ja ne ovat satunnaisia. Koska näillä tartuntataktiikoilla ei ole kaavaa, jota seurata, eikä niitä ole aikaa analysoida, niitä on hyvin vaikea estää.
Paketti naamioi itsensä laillisiksi verkkosivuiksi, mikä vaikeuttaa niiden estämistä estämättä tahattomasti muita laillisia sovelluksia.
Lähde: 2015 Trustwave Global Security Report
Tässä on esimerkiksi joitain lukuja Dridexin kampanjoista, jotka ovat levinneet tämän vuoden aikana ja jotka Cisco on analysoinut.
Haittaohjelmakampanja tapahtuu nopeasti (9h), ennen kuin perinteinen virustorjunta ehtii reagoida
Tässä hyvin lyhyessä ajassa toimitetaan useita kampanjoita (850)
Hyökkääjät käyttävät Microsoftin makroja taloudellisten haittaohjelmien toimittamiseen
Hyökkääjät muokkaavat nopeasti kampanjasisältöä, kuten käyttäjäagentteja, liitetiedostoja ja lähettäjiä, ja käynnistävät kampanjan uudelleen
Lähde: Lähde: Cisco 2015 Midyear Security Report
Ja sykli toistuu yhä uudelleen.
Hyökkääjät käyttävät tietomurroista saatuja hakkeroituja tunnistetietoja levittäytyäkseen edelleen.
Kaikkien niiden tietomurtojen jälkeen, jotka ovat nousseet uutisiin niin monta kertaa, miljoonat vaarantuneet tunnistetiedot päätyivät pimeään verkkoon. Nämäkin ovat myynnissä.
Jos esimerkiksi sähköpostiosoitteesi oli osallisena jossakin viimeaikaisista tietomurroista, se on todennäköisesti myynnissä jollakin pimeän verkon markkinoilla. Yhdessä käyttäjätunnuksesi, salasanasi ja jopa korttitietojesi kanssa. Ja näiden vihjeiden perusteella verkkorikolliset voivat kerätä paljon muitakin tietoja.
Tietysti Anglerin takana olevat verkkorikolliset ovat käyttäneet hyväkseen näitä tunnistetietoja, erityisesti vaarannettuja DNS-tietueita.
Lyhyesti tiedoksi:
DNS on lyhenne sanoista Domain Name System (verkkotunnuksen nimijärjestelmä), ja se valvoo verkkotunnuksen verkkosivu- ja sähköpostiasetuksia. Kun DNS-tietueita rikotaan, hyökkääjät pääsevät käsiksi kyseiseen verkkosivustoon ja sen sisältöön sekä kyseiseen verkkotunnukseen liittyvään sähköpostiosoitteeseen.
Hakkeroituja tunnistetietoja ja DNS-tietueita käyttämällä tietoverkkorikolliset ovat onnistuneet lisäämään toimintaansa huomattavasti. Samalla he käyttivät tätä myös peittääkseen jälkensä ja pysyäkseen anonyymeinä ja välttääkseen lainvalvontaviranomaisten paljastumisen.
Hyökkäyksen toimittamiseen käytetään uskottavia, hyvin rakennettuja laskeutumissivuja.
Toinen olennainen tekijä, jonka avulla haittaohjelmakampanja voi tavoittaa mahdollisimman monta uhria, on aitous. Jos verkkosivu, jolle uhrit laskeutuvat, vaikuttaa lailliselta, käyttäjä selaa sitä todennäköisemmin ja klikkaa asioita.
Hyökkääjät ovatkin ottaneet tehtäväkseen luoda mahdollisimman aidoilta näyttäviä väärennettyjä sivuja. Ja kaiken huonon web-suunnittelun keskellä ei ole edes niin vaikeaa sulautua joukkoon.
Ciscon tutkijat viittaavat siihen, että exploit kitin tekijät saattavat luottaa tietotekniikkaan luodakseen tietokoneella luotuja laskeutumissivuja, jotka muistuttavat normaaleja web-sivuja ja huijaavat helposti käyttäjiä. Malvertising (haitallinen verkkomainonta) on todennäköisesti tärkein tekijä, joka saa aikaan johdonmukaisen verkkoliikennevirran näille sivuille.
Lähde: Cisco 2015 Midyear Security Report
Se tunnetaan tehokkaana haittaohjelmatartuntojen vektorina.
Vaikkei olekaan olemassa lopullisia lukuja, jotka vahvistaisivat tämän, huhutaan, että Anglerilla on erittäin tehokas ”konversio”-prosentti.
Tämä voi olla osa sen menestystä ja syy siihen, miksi niin monet hyökkääjät valitsevat Anglerin kampanjoissaan. Tietenkin muut osat, jotka vaikuttavat tähän korkeaan käyttöasteeseen, on lueteltu edellä.
Kuten aina, se on elementtien yhdistelmä, joka saa työn tehtyä. Valitettavasti tällä kertaa se tehdään internetin käyttäjien kustannuksella ympäri maailmaa.
Miten Angler leviää?
Angler saattaa olla yksi kehittyneimmistä exploit-paketeista, mutta se ei riitä. Jotta siitä tulisi ”halutuin”, sen on pystyttävä tavoittamaan mahdollisimman monta potentiaalista uhria.
Miten siis verkkorikolliset levittävät Angleria, jotta kaltaisesi internetin käyttäjät saavat tartunnan?
Hyökkääjät luottavat kolmeen tärkeimpään taktiikkaan tavoittaakseen mahdollisimman monta tietokonetta:
Vääränlainen mainonta
Vääränlaiset iFramet
Vääränlaisen koodin injektio.
Vääränlaisesta mainonnasta on kyse silloin, kun kyberrikolliset käyttävät verkkomainontaa haittaohjelmien levittämiseen. He soluttautuvat sisällönjakeluverkkoihin, jotka vastaavat verkkomainosten sijoittamisesta verkkosivustoille. Palvelimet, jotka työskentelevät tätä varten, ovat yleensä melko haavoittuvia, joten hyökkääjien ei ole haastavaa päästä sisään.
Kun he ovat päässeet sisään, he voivat tartuttaa kaikkiin verkon bannereihin haitallista koodia, tässä tapauksessa uudelleenohjauksia, jotka johtavat Anglerin laskeutumissivuille. Niinkin suuret verkkosivustot kuin The Huffington Post, Mashable tai muut voivat siis vaarantaa kävijöitään tietämättään.
Haitarimainonnan avulla verkkorikolliset voivat tavoittaa kerralla valtavan määrän internetin käyttäjiä. Puhutaan miljoonista!
Ja on toinenkin tapa, jolla Angler voi päästä järjestelmääsi: iFramet. Tämä on tapa lisätä sisältöä toiselta verkkosivustolta verkkosivustolle, jolla vierailet. Voit siis lukea New York Timesin artikkelia ja sivulla voi olla haitallista sisältöä toiselta sivustolta. Tämäntyyppinen haitallinen sisältö ohjaa käyttäjiä myös Angler exploit kit -sivuille, jossa tartunta käynnistyy.
Tietysti on myös tilanne, jossa hyökkääjät päättävät pistää haitallista koodia eri verkkosivustoille. Tämä koodi syöttää myös liikennettä verkkosivuille, jotka luodaan Anglerin ja siitä seuraavien haittaohjelmatartuntojen levittämiseksi.
Kaikki nämä kolme taktiikkaa perustuvat siihen, että käytetään hyväksi luottamusta, jota kävijät tuntevat isoja verkkosivustoja kohtaan. Verkkorikolliset suhteuttavat tämän luottamustekijän myös exploit kitin kykyyn pysyä huomaamatta, kun tartunta tapahtuu. Se on kauhea yhdistelmä, joka huijaa liian monia uhreja, jotka ovat hyvin usein tietämättömiä siitä, että tällaisia vaaroja edes on olemassa.
Olemme pahoillamme, että joudumme sanomaan tämän, mutta ei.
Saatat yhä luulla, että virustorjuntaohjelma on ratkaisu kaikkiin tietoturvaongelmiin, mutta se on vain myytti.
Traditionaalinen virustorjuntaohjelma ei voi tarjota 100-prosenttista suojaa. Mikään tietoturvaratkaisu ei pysty siihen, siksi tarvitset monikerroksista suojausta. Olen aiemmin selittänyt, miksi virustorjunta on useimmiten tehoton kaikkein kehittyneimpiä exploit-paketteja vastaan. Niiden kyky välttää havaitseminen on uskomaton.
Se ei tarkoita, ettet tarvitsisi virustorjuntaa. Itse asiassa se on perusturvavaraus, joka sinun on tehtävä. Tarvitset kuitenkin muutakin kuin virustorjuntaohjelman suojautuaksesi Anglerilta ja vastaavilta exploit-kiteiltä.
Tässä lisää todisteita:
Yksi suurimmista syistä siihen, että Angler on ollut niin laajalle levinnyt ja pystynyt saastuttamaan niin monta käyttäjää, on virustorjuntaohjelman puute. Heinäkuun aikana Talos havaitsi lähes 3 000 uniikkia hashia, jotka liittyivät hyökkäyksiin. Näitä tietoja verrattiin VirusTotalin tietoihin, ja havaittiin, että vain 6 prosenttia hasheista oli VirusTotalissa. Tästä 6 prosentista keskimääräinen havaitsemisaste oli alhainen, sillä yleensä alle kymmenen AV-moottoria havaitsi sen.
Lähde: Lähde: Cisco Talos, ”Angler exposed”
Uusi kehitys
Tässä on suuri viimeaikainen parannus, joka osoittaa, että Angler on innovaatioiden eturintamassa kaikissa exploit kit -asioissa. Joulukuun alussa Heimdal Securityn tiimimme havaitsi Anglerin levittävän CryptoWall 4.0:aa, pahamaineisen lunnasohjelman uusinta versiota.
Anglerin luojat integroivat CryptoWall 4.0:n hyötykuorman alle kuukausi sen jälkeen, kun havaitsimme sen ensimmäisen kerran. Kun otetaan huomioon näiden molempien elementtien monimutkaisuus, kuukausi on todella lyhyt aika hyväksymiselle.
Se ei tietenkään lopu tähän. Joulukuun 2015 alussa näimme useiden uusien palvelimien tulevan osaksi Anglerin jakeluverkkoa. ”Rikos palveluna” -asetelma sisältää useita vaarannettuja verkkotunnuksia. Tässä on valikoima, jonka Heimdal Security on puhdistanut:
carla campbell co evancampbell me upuff us aero station us idtsolutions us linnosnes com cherhawaii com hilodayspa com miracle-touch massage com evancampbell co ecupidonline.us theflightdeck us bugado com stock real money com jerramconsulting com oldtruckpartsonline com
Tietokannassamme estettiin yhtenä aamuna yli 100 verkkotunnusta, koska niitä käytettiin hyväksi CryptoWall 4.0:n toimittamiseen. Tämän lisäksi Angleria käytettiin myös tartunnan saaneiden koneiden sitomiseen bottiverkkoon, jotta ne voivat käyttää resurssejaan uusien hyökkäysten tekemiseen.
Joulukuussa 2015 havaitsimme myös voimakasta toimintaa Angler-hyökkäyspaketissa. Tässä tapauksessa kahta palvelinta käytettiin drive-by-hyökkäysten toimittamiseen saastuneiden verkkosivustojen kautta. Tässä ovat niiden tiedot:
185.46.8 218 195.64.155 168
Jälleen uusi erä vaarannettuja verkkotunnuksia estettiin Heimdalin käyttäjien suojaamiseksi. Näet osan niistä alla:
galactic parks com thatcrazycousin com americanoutlawelixirs com rocket solar galactic Energy rocket voyage bigsoya com nyratwo com hydronest com seabiofuels com alpvideophoto com rocket worldwide com galactic power Energy rocket vacations levoradikal tk elginjohn com seberevolta com ozonitewater com miamilawgroup com
LÄHIMMÄISEN EDIT :
Havaitsimme perjantaina 11.12.2015 uutta liikettä Angler-haittaohjelmapaketissa , palvelimilla, joita käytettiin CryptoWall 4:n istuttamiseen.0:n levittämiseen vanhentuneisiin Windows-tietokoneisiin.
Tässä uudessa kampanjassa käytetään samoja menetelmiä kuin 2. joulukuuta paljastamassamme kampanjassa, jolloin havaitsimme ensimmäisen kerran Anglerin levittävän CryptoWall 4.0:aa. Vaikuttaa myös siltä, että myös nykyistä kampanjaa koordinoi sama verkkorikollisryhmä, joka kohdistuu nyt Adobe Flashin ja Adobe Readerin tai Acrobat Readerin vanhentuneisiin versioihin.
Kuten Angler-hyökkäyspakkaukselle ominaista, tartunta levitetään vaarantuneiden verkkosivujen välityksellä, jotka siirtävät käyttäjän sarjalle verkkotunnuksia, jotka on luotu tätä haitallista tarkoitusta varten.
Tässä ovat uudet palvelimet, joita käytetään CryptoWall 4.0:n levittämiseen Anglerin kautta ja jotka, kuten näet, leviävät Venäjällä, Ranskassa ja Yhdysvalloissa:
5101.67 101 (PIN DATACENTER-NET, Venäjä) 51254162 81 (OVH, Ranska) 209133214 46 (Noc4hosts Inc., USA)
Kuten aiemmin mainittiin, tutkijamme havaitsivat, että näiltä palvelimilta ohjataan haitallista liikennettä käyttämällä suurta määrää verkkotunnuksia, joiden ainoa tarkoitus on suorittaa drive-by-hyökkäyksiä. Tässä on pieni otos näistä verkkotunnuksista:
happy keys house com youniquenatasha com lovingallthishair com millenniumsurfaces com Team doyle net urbansignsusa net youregonnaneedabiggerboat net Clergy-women biz direktologistics com abemc net aircontrols net clergywoman info Clergy-women mobi
Tartuntaprosessiin kuuluu myös edellä esiteltyihin verkkotunnuksiin liittyvien aliverkkotunnusten kasaaminen. Nämä edustavat ensisijaista alustaa, jota Angler exploit kit käyttää CryptoWall 4.0:n levittämiseen drive-by-hyökkäyksissä.
Huolimatta siitä, että kampanja on yli kaksi päivää vanha, virustentorjuntaohjelmat havaitsevat sen edelleen hyvin heikosti: vain 7 VirusTotalissa luetelluista 56:sta virustentorjuntaratkaisusta pystyy tällä hetkellä tunnistamaan ja estämään hyökkäyksen.
Klikkaa tästä, niin näet täydellisen luettelon kampanjan havaitsemisasteista kampanjan aikaan.
Ciscon Talos jakoi joitakin tiedustelutiedustelutiedoistaan poimittuja lukuja, jotka osoittavat Anglerin vaikutuksen uhreihinsa. Tämä johtuu erityisesti siitä, että Angler on lunnasohjelmien suosima tartuntavektori. Yhdistettynä tartunnalla on lähes varmat mahdollisuudet onnistua.
Uhriin jäävät hänen tietonsa salattuina ja yksi ainoa tapa saada ne takaisin: lunnaiden maksaminen. Tietenkin, jos hänellä on varmuuskopio, ei tarvitse miettiä, maksaako vai eikö maksa. Mutta jos varmuuskopiota ei ole…
Lähde:
Source: Cisco Talos, ”Angler exposed”
Tietenkin Angler-jakelukampanjoiden virustorjuntatunnistus on hyvin heikko, joten ei ole mikään salaisuus, että altistut suurella todennäköisyydellä, jos et noudata joitain perusturvasääntöjä.
Miten voin pitää järjestelmäni suojattuna Anglerilta?
Olemme puhuneet siitä, miten Angler voi integroida markkinoiden uusimmat ohjelmistohaavoittuvuudet. Mutta ne eivät ole ainoita, joita verkkorikolliset tavoittelevat.
Itse asiassa Angler voi skannata ja hyödyntää tietoturva-aukkoja, jotka ohjelmistovalmistajat ovat jo paikanneet. Jos käyttäjät eivät käytä päivityksiä, haavoittuvuudet ovat edelleen olemassa. Ja me kaikki tiedämme, että monet meistä ovat jäljessä tässä keskeisessä tietoturvakäytännössä.
Exploit kit -suojaus on suhteellisen yksinkertainen asennus. Et tarvitse teknistä osaamista suojautuaksesi Anglerilta ja sen levittämiltä haittaohjelmilta. Tässä hyödyllinen tarkistuslista, jonka avulla pääset alkuun:
Turvaa selaimesi
Monet Anglerin levittämät tartunnat hyödyntävät käyttäjän selaimen haavoittuvuutta. Ne voivat vaarantaa järjestelmäsi monin eri tavoin: lisäosissa olevien tietoturva-aukkojen kautta, koska et ole asentanut uusinta versiota jne.
Mutta on olemassa keino varmistaa, että selaimesi ei altista sinua kyberhyökkäyksille! Seuraa vain ohjeita:
The Ultimate Guide to Secure your Online Browsing: Chrome, Firefox ja Internet Explorer
Pitäkää ohjelmistonne ajan tasalla
Kuten olet nähnyt, maailman käytetyimmät sovellukset ovat myös haavoittuvimpia, olipa kyse sitten Flashista tai Chromesta.
Luottamus on se, että monet järjestelmän tietoturva-aukot on yksinkertaista sulkea pelkillä säännöllisillä päivityksillä. Sama pätee tietenkin myös käyttöjärjestelmääsi.
Katso näitä tilastoja nähdäksesi itse, miksi sinun ei pitäisi enää koskaan jättää päivityksiä huomiotta:
8 haavoittuvaa ohjelmistosovellusta, jotka altistavat tietokoneesi kyberhyökkäyksille
Käytä virustorjuntaohjelmaa
Virustorjuntaohjelmat eivät ehkä ole kovin tehokkaita kehittyneitä hyväksikäyttökokoonpanoja tai lunnasohjelmistohyökkäyksiä vastaan, mutta tarvitset sitä silti. Se on peruspuolustuslinja, ja sinun kannattaa ehdottomasti käyttää sitä.
Jos olet eksyksissä liian monien vaihtoehtojen joukossa, voit käyttää kokoamaamme opasta, joka auttaa sinua valitsemaan parhaan virustorjunnan järjestelmääsi.
Mikä on paras virustorjunta tietokoneelleni? A Step-By-Step Research Guide
Suojaa järjestelmäsi kiristysohjelmilta oikeilla työkaluilla
Jos virustorjunta ei voi suojata minua Anglerilta tai kiristysohjelmilta, mikä sitten voi?
On olemassa työkaluja, jotka pystyvät estämään Anglerin tai CryptoWallin kaltaisten kiristysohjelmien pääsyn järjestelmääsi. Ne toimivat ennakoivasti ja skannaavat Internet-liikennettäsi estääkseen pääsyn mahdollisesti vaarallisille verkkosivustoille.
Voit lukea lisää näistä työkaluista tästä kätevästä luettelosta, jonka loimme juuri tätä tarkoitusta varten:
Onko Antivirus kuollut? Meet The NextGen Anti-Hacking Tools
Tietojen varmuuskopiointi
Tietojen varmuuskopiointi ei ole seksikästä. Useimpien mielestä se on tylsää ja aikaa vievää, eivätkä he näe sen hyötyä. Emme kuitenkaan voi tarpeeksi korostaa, kuinka tärkeää se on.
Tietojen varmuuskopioiminen voi pelastaa sinut ongelmista milloin tahansa!
Jos tietokoneeseesi tarttuu kiristysohjelma, sinun ei tarvitse maksaa lunnaita. Jos sinun on tehtävä järjestelmän poisto tartunnan poistamiseksi, sinun ei tarvitse menettää tiedostojasi. Jos jotain tapahtuu, pääset silti käsiksi tärkeisiin asiakirjoihin, kuviin ja muuhun mediaan.
Muista kuitenkin, että pilvipohjainen varmuuskopiointi ei riitä. Jotkin lunnasohjelmatyypit voivat salata Google Driven tiedot, jos ne on synkronoitu tartunnan saaneeseen tietokoneeseen.
Selvitä siis tietosi varmuuskopioimalla ne NYT ja tee se sitten usein.
Et tiedä, mistä aloittaisit?
Meiltä löytyy juuri sopiva juttu:
Miten varmuuskopioida tietokoneesi – parhaat neuvot samassa paikassa
Mutta muistathan kuitenkin, että kaikki nämä oppaat toimivat vain, jos sinä sovellat niitä. Jos teet sen kerran, sinulla on oma verkkoturva-asetuksesi, jota voit parantaa ja muokata mieleiseksesi.
Tekninen analyysi: Tutustu tarkemmin Angler-hyökkäyssarjaan
Neille, jotka haluavat lisää Angleriin liittyvää tietoa, pyöristimme yhteen joitakin teknisiä analyysejä, jotka kertovat, miten tämä kyseinen hyökkäyssarja toimii.
Sophos: ”A closer look at the Angler exploit kit”
IXIA: ”Angler Exploit Kit Deobfuscation and Analysis”
SANS Edu: ”Angler exploit kit pushes new variant of ransomware”
Websense Security Labs Blog: ”Angler Exploit Kit – Operating at the Cutting Edge”
Trend Micro: ”Evolution of Exploit Kits”
Cisco blogi: ”Threat Spotlight: Angler Lurking in the Domain Shadows”
Cisco Talos: ”Angler exposed.”
Conclusion
Toivon, että nyt sinulla on parempi käsitys siitä, mitä Angler ja muut exploit kitit voivat tehdä. On suuri haaste pysyä ajan tasalla verkkoturvallisuudessa, ja tiedän sen omasta kokemuksestani. Mutta se on myös hyvin tärkeää.
Internet tarjoaa poikkeuksellisia mahdollisuuksia oppia, työskennellä ja kasvaa ihmisenä. Mutta ”pakettiin” kuuluu myös joitakin uhkia, joita on joskus vaikea ymmärtää.
Toivon siis saavuttaneeni osan tehtävästäni täällä tänään, joka on auttaa sinua näkemään asiat selkeämmin ja todella ymmärtämään, miksi verkkoturvallisuuden pitäisi olla tehtävälistallasi. Lista on pitkä; minullakin on pino niitä. Mutta minulla ei ole varaa siihen, että verkkorikolliset häiritsevät työtäni ja intohimojani.
Voitko sinä?
Heimdal™ Threat Prevention Home varmistaa, että tuo linkki on turvallinen!
Vanhempasi ja ystäväsi napsauttavat mitä tahansa epäilyttävää linkkiä, joten varmista, että he ovat suojassa.
Heimdal™ Threat Prevention Home tarjoaa:Automaattiset ja äänettömät ohjelmistopäivityksetÄlykkään suojan haittaohjelmia vastaanYhteensopivuuden minkä tahansa perinteisen virustentorjuntaohjelman kanssa.
