Az utóbbi időben sokat beszéltek az Angler exploit kitről, de a legtöbb ember számára a figyelmeztetések nem keltettek feltűnést. Pedig biztosan nem ők tehetnek róla.
Nem mindenkinek van ideje arra, hogy megkeresse a Google-ban az “Angler exploit kit”-et, és elolvasson 4-5 cikket, hogy megértse, miről van szó. És az a tény, hogy a legtöbb cikk a témában technikai elemzések, nem igazán segít.
Ezért nekiláttunk, hogy elkészítsük az Angler exploit kitről szóló végső útmutatót a nem műszaki emberek számára, egy olyan cikket, amely elmagyarázza az alapokat:
Mi az exploit kit
Miért emelkedik ki az Angler az exploit kitek közül
A legfontosabb képességei
Hogyan terjed az Angler
Mit tud( nem) a vírusirtója. az Anglerről
Az Angler tevékenységének legújabb fejleményei
Hogyan védheti meg rendszerét az Anglerrel szemben
A technikai elemzések listája azok számára, akik szeretnének mélyebben elmerülni a témában.
De miért kell ezeket a dolgokat ismernem?
Megfelelő kérdés. A válasz elég egyszerű: mert te is célpont vagy.
Mint látni fogod, nem kell ahhoz gazdagnak, híresnek, politikusnak vagy sportolónak lenned, hogy kiberbűnözés áldozatává válj. Mindössze annyit kell tennie, hogy van internetkapcsolata, és használja azt. Sajnos csak ennyi kell hozzá.
De ez nem jelenti azt, hogy védtelen vagy. Au contraire, az a tény, hogy ezt olvasod, máris okosabbá és tudatosabbá tesz téged, mint azt a kiberbűnözők szeretnék. Tehát görgessen tovább, és okozzon nekik váratlan meglepetést.
A exploit kit olyan eszköz, amelyet a kiberbűnözők arra használnak, hogy kihasználják a rendszer sebezhetőségeit, és rosszindulatú szoftverekkel fertőzzék meg.
Ez alapvetően egy rosszindulatú célokra tervezett kódrészlet. Egy olyan csatornát nyit, amelyen keresztül a kiberbűnözők kommunikálhatnak az Ön rendszerével, és különböző típusú parancsokat tartalmazó kódokkal táplálják azt.
Amint látni fogja, az exploit-készletek nagy üzletet jelentenek a kiberbűnözők világában. Itt kezdődött minden:
Az első feljegyzett exploit kit támadás 2006-ban volt nyomon követhető, amely a WebAttacker kitet használta. Ez volt az első exploit kit, amelyet az orosz underground piacon találtak. Technikai támogatással együtt érkezett, és 20 dollárért árulták.
Forrás:
Source: Evolution of Exploit Kits by Trend Micro
Az exploit kitet a támadó úgy tervezi meg, hogy legalább 3 alapvető műveletet hajtson végre:
A rendszerét sebezhetőségek után kutatva
A felfedezett sebezhetőségeket kihasználva rosszindulatú kódot tölt le a rendszerébe
A rendszerén rosszindulatú kódot hajt végre, ami lényegében azt jelenti, hogy képes rosszindulatú programot telepíteni az eszközére.
Az exploit kit általában a böngészőket vagy más programokat veszi célba, amelyeket egy weboldal bármelyik böngészőn keresztül meghívhat (Adobe Reader, Java Runtime Environment, Adobe Flash Player stb.).
A exploit kitek olyan parancsokat tartalmaznak, amelyekkel a rendszer rendellenes viselkedésre bírható. Arra használhatók, hogy megzavarják a szoftverek, hardverek és bármi más elektronikus eszköz tevékenységét.
De ne feledjük: ez nem jelenti azt, hogy ha a rendszerünk megfertőződött, akkor magunktól is rájöhetünk, hogy ez történik.
Ha szabad szemmel is láthatnánk ezeket a fertőzéseket, sokkal könnyebb lenne megállítani őket. De ez a hajó már elment valamikor a ’90-es években, és ez már nem ilyen egyszerű.
Példa:
Egy Google keresési eredményre kattintva további információkat keres egy GoPro kameráról. Egy blogon köt ki, amely ismertetőt kínál, ezért körülböngészi, de utána bezárja.
Mialatt a weboldalon vagy, a következő módon történhet meg egy fertőzés kevesebb mint egy másodperc alatt:
A támadók átirányítják a böngésződet egy rosszindulatú weboldalra, amely egy exploit kitet tartalmaz (ezt nevezik drive-by támadásnak)
Az exploit kit ezután folytatja a böngésződ átvizsgálását, hogy megnézze, vannak-e biztonsági rések
Elképzelhető, hogy nem telepítetted a legújabb Java frissítéseket (bólints csendben, ha te is utálod őket – nem vagy egyedül)
Mivel a böngésződ Java pluginja sebezhető, a benne lévő biztonsági rés utat adhat az exploit kitnek a rendszeredbe
Itt az exploit kit ledobhatja a payloadot, ami a malware azon része, amely végrehajtja a rosszindulatú műveletet
A payload ezután folytatja annak alkalmazását, amire programozták: összegyűjti az Ön pénzügyi adatait (hitelkártyaadatok, online banki jelszavak és felhasználónevek stb.), titkosítja az adatait, és váltságdíjat vagy egyéb műveleteket kér, amelyeket a továbbiakban bemutatunk.
Röviden, így használják ki a kiberbűnözők a rendszer biztonsági réseit, hogy beszivároghassanak és végrehajthassák támadásaikat. Nem igényelnek semmilyen közreműködést Öntől, mint felhasználótól, és az egész folyamat láthatatlan. De természetesen a történet ennél többről szól.
Elképzelhető, hogy észrevette, hogy ebben a folyamatban sehol nem említettem a vírusvédelem beindulását. Ennek 2 oka van:
Sajnos nem mindenki rendelkezik telepített vírusirtóval, ami ezeket a felhasználókat sétáló célpontokká teszi
A leggyakrabban használt exploit kitek olyan kifinomultak, hogy sikerül elkerülniük a vírusirtó termékek észlelését. Olvasson tovább, hogy megtudja, miért.
Vannak bizonyos exploit kitek, amelyek hírhedté váltak képességeikről. Ezért használják őket a rosszindulatú programok néhány legkifinomultabb formájának terjesztésére.
Az, amire ezek az exploit-kitek képesek, arra készteti Önt, hogy kövessen néhány alapvető online biztonsági szabályt, amelyeket a cikk végén készítettünk Önnek. Nézze csak meg az elmúlt néhány évben létrehozott új exploit kitek számának ugrásszerű növekedését!
Forrás:
Miért emelkedik ki az Angler az exploit kitek közül?
A 2013-ban azonosított Angler az egyik leghírhedtebb kibertámadásokban használt exploit kit. Rövid története során az Angler különleges tulajdonságai miatt nyert teret. Terjesztett zsarolóprogramokat, részt vett rosszindulatú reklámozásban, sőt hacktivista kampányokban is.
2014-ben a Trustwave 2015-ös globális biztonsági jelentése szerint ez volt a második leggyakrabban használt exploit kit. A fertőzések 17%-át tette ki, míg a Nuclear, a leggyakrabban használt exploit kit a fertőzések 23%-át generálta.
2015 márciusa óta az Angler még aktívabbá vált. A Heimdal Security csapatunk, valamint számos más kutató is megfigyelte az exploit kitet elemzéseiben.
Forrás: A Sophos “A closer look at the Angler exploit kit”
Mivel több, a Cisco Midyear Security Report szerint 2015-ben az Angler az eddig megfigyelt kibertámadásokban a felhasználói penetráció 40%-át tette ki.
Amint jól látható, az Angler jelenleg uralja az exploit kitek piacát, és az elmúlt hónapokban különösen aktív volt.
Forrás: Trend Micro, “Hazards Ahead: Current Vulnerabilities Prelude Impending Attacks”
De ezek az Angler exploit kit statisztikák önmagukban nem festenek teljes képet. Ami fontos, az a tényezők összessége, amelyeknek köszönhetően az Angler ilyen széles körű elterjedést és magas felhasználást ért el. Az Anglerről szóló hírek futótűzként terjednek a kiberbiztonsági közösségben, mivel ez az exploit-kit mire képes.
Az Angler továbbra is az exploit-kitek piacának vezetője az általános kifinomultság és hatékonyság tekintetében.
Az Angler exploit-kit legfőbb képességei
Az Angler több okból is ilyen magasan szerepel a kiberbűnözők preferenciái között. Ezek közül próbáltunk néhányat összegyűjteni itt, anélkül, hogy túlságosan belemennénk a technikai részletekbe. Azok számára, akik szeretnének mélyebben elmerülni a témában, a cikk végén találnak egy listát a technikai elemzésekről.
A következőkre képes tehát a hírhedt Angler exploit kit:
Egyszerűen használhatják olyan támadók is, akik nem rendelkeznek mély műszaki ismeretekkel.
A támadók, akik nem informatikai vagy biztonsági szakértők, online is megvásárolhatják az exploit kitet. Nem kell tudniuk, hogyan készítsék el maguk a készletet, és a készlet használatával mégis learathatják az előnyöket.
Néha az olyan exploit-készletek, mint az Angler, még felhasználóbarát felülettel is rendelkeznek. Ez lehetővé teszi a támadó számára, hogy nyomon kövesse a malware-kampány alakulását, és a hatékonyabb eredmények érdekében módosítsa a beállításokat.
Fogadom, hogy nem gondolta volna, hogy ez ilyen egyszerű…
A kiberbűnözői körökben árulják, és bárki számára megvásárolható.
A cybercrime-as-a-service nem új keletű, és már egy ideje beszélünk róla. Az Anglerhez hasonló Exploit-készleteket kiberbűnözői körökben árulják, jó áron. A Sophos feltételezései szerint akár egy “pay-per-install” fizetési modell is létezhet, ahol a támadóknak csak a sikeres kártevőfertőzésekért számolnak fel pénzt az Angler készítői.
Az exploit kit még vonzóbbá tétele érdekében a készítői még sebezhetőségekkel is előzetesen feltöltik, így a készlet készen áll a telepítésre.
Egy hatalmas számú művelet végrehajtására programozható.
Az Angler egy nagyon sokoldalú exploit kit. A kiberbűnözők utasíthatják a kitet:
bizalmas adatok (felhasználónevek, jelszavak, kártyaadatok stb.) gyűjtésére és feltöltésére az általuk ellenőrzött szerverekre
vagy a fertőzött rendszer botnetbe (további támadások végrehajtására használt számítógépek “zombihadserege”) való bekötésére.
Itt vannak például az Angler által 2015 áprilisában drive-by támadások révén sebezhető rendszerekre telepített rosszindulatú programok típusai:
Source: Sophos, “A closer look at the Angler exploit kit”
Az elavult szoftverek sebezhetőségére összpontosít.
Ez a tényező önmagában is hatalmas oka annak, hogy az Angler olyan sikeresen telepít rosszindulatú szoftvereket a felhasználók számítógépére.
Hányszor hagyta figyelmen kívül valamelyik alkalmazás vagy az operációs rendszer frissítését?
Mindannyian tettük már ezt. Internet-felhasználók milliói még mindig naponta megteszik, számos olyan okból, amelyek most nem fontosak.
Ami viszont fontos, hogy az Angler kihasználja ezeket a biztonsági réseket az Ön rendszerében. És rengeteg van belőlük!
Mint egy kiberbiztonsági szakember egyszer mondta, a kiberbűnözőknek csak egy sebezhetőséget kell találniuk, de nekünk mindet be kell foltoznunk.
Új sebezhetőségeket gyorsan integrál!
Az Angler népszerűsége azért nőtt, mert a fejlesztői nagyon gyorsan képesek hozzáadni az új sebezhetőségek kihasználását. Amikor egy nulladik napi sebezhetőség megjelenik a piacon, az Angler az elsők között integrálja azt, különösen, ha a Flashről van szó.
Itt vannak például a Cisco által 2015 első felében azonosított leggyakoribb kártevő vektorok:
a leggyakoribb kártevő vektorok
Forrás: A Cisco által 2015 első felében azonosított leggyakoribb kártevő vektorok
Source: Cisco 2015 Midyear Security Report
A Flash már most is az egyik legrosszabb hírnévvel rendelkezik a szoftveres sebezhetőségek tekintetében. Így természetes, hogy az Angler mögött álló csapat ezt nézi meg először, hiszen a Flash annyi biztonsági rést kínál kihasználásra.
Mert annyira adaptív, a készítők nagyon gyorsan tudnak új sebezhetőségeket hozzáadni az Anglerhez, valamint a meglévőket eltávolítani. Ez teszi a kiberbűnözői körökben elsőrangú vétel tárgyává.
A fertőzés minden egyes szakaszában igyekszik elkerülni a felismerést.
Az újítás kulcsfontosságú az Angler és fejlesztése szempontjából. Úgy tűnik, hogy a készítői ezt nagyon komolyan veszik, mert folyamatosan módosítják a taktikájukat, hogy elkerüljék a biztonsági termékek, különösen a vírusirtók észlelését.
Röviden, így csinálja (itt egy kicsit technikai lesz, de nem túlságosan):
A hírnévszűrés kikerülése érdekében gyorsan váltogatja a hostneveket és IP-számokat, valamint domain shadowingot használ, hogy legitim domaineket használjon. A tartalomérzékelés kikerülése érdekében az Anglerben részt vevő komponenseket dinamikusan generálja minden egyes potenciális áldozat számára, különféle kódolási és titkosítási technikákat alkalmazva. Végül az Angler elhomályosítást és sandbox-ellenes trükköket alkalmaz, hogy meghiúsítsa a minták begyűjtését és elemzését.
Forrás: Forrás: Sophos, “A closer look at the Angler exploit kit”
Az Angler mögött álló kiberbűnözők minden apró részletre gondoltak, amikor megtervezték ezt az exploit kitet. Ezért tart olyan sokáig észrevenni, és ezért nem tudja a vírusirtója megvédeni Önt az Angler által szállított rosszindulatú fertőzésektől.
Az alábbiakban még többet olvashat a témáról.
Az Angler “láthatatlan” rosszindulatú fertőzéseket tud szállítani.
Az Angler-t gyakran használják drive-by támadásokhoz, amelyekről a cikk elején beszéltünk.
Ezekről a támadásokról:
A drive-by támadások akkor történnek, amikor Ön egy kompromittált weboldalra kerül, ahová a kiberbűnözők rosszindulatú kódot juttattak be. Vagy átirányítják Önt egy másik weboldalra, amely az exploit-készletnek otthont ad, vagy figyelmeztetést kap, amelyre kattintva figyelmen kívül hagyhatja.
Mindkét esetben a támadás egyáltalán nem nyilvánvaló. Különösen azért, mert a vírusvédelem nem lép működésbe. Éppen ezért a drive-by támadások a legrosszabbak közé tartoznak, és a legtöbb internetezőnek fogalma sincs arról, hogy egyáltalán léteznek vagy megtörténhetnek.
Az Angler ráadásul “fájl nélküli” fertőzéseket is tud szállítani, ami azt jelenti, hogy a folyamat során egyetlen fájlt sem töltenek le a támadók a számítógépre. A hagyományos vírusirtó termékek a fájlokat vizsgálják a rosszindulatú fertőzések észlelése érdekében. De ha nincs vizsgálandó fájl, akkor csak arra a következtetésre jut, hogy nincs is fertőzés.
Az Angler sikeréhez az is hozzájárul, hogy titkosított hasznos terhet használ. A hasznos teher a támadó parancsait képviseli. Ahhoz, hogy a vírusirtó blokkolni tudja a fertőzést, először a hasznos terhelést kell visszafejtenie. Ezután elemeznie kell, karanténba kell helyeznie, majd törölnie kell.
Mialatt a vírusirtó mindezzel küzd, a rosszindulatú program már települt a rendszerre, és máris információt nyer ki, vagy azt teszi, amire utasítást kapott.
Ez az oka annak, hogy a hagyományos vírusirtó termék akár néhány napig is eltarthat, amíg figyelmezteti Önt, hogy fertőzés van a rendszerében. Addigra az adatai már a kiberbűnözők kezében lesznek. Vagy titkosítva, és arra várnak, hogy több száz dollárt fizessen a visszafejtésért.
forrás:
Mint ez a példa is mutatja a Trustwave 2015-ös globális biztonsági jelentéséből:
Még egy saját zéró napot is tartalmazott az Adobe Flash (CVE-2015-0313/CVE-2015-0311), amely két hónapig észrevétlen maradt.
A terjesztési taktikája miatt nehéz blokkolni.
A kiberbűnözők tudják, hogy a radar alatt való elrejtőzés kulcsa a gyors mozgás.
Így sikerül elterjeszteniük az Angler-t, és egyúttal névtelenül tartaniuk a személyazonosságukat:
Keresik azokat a webszervereket, amelyeket kompromittálhatnak.
Gyakorlatilag feltörik az ezeken a szervereken üzemeltetett weboldalakat.
Mihelyt átvették az irányítást a szerver felett, hatalmas mennyiségű Anglerrel feltöltött aldomaineket hoznak létre
Spam-kampányok vagy rosszindulatú reklámkampányok révén az áldozatokat ezekre az aldomainekre küldik, ahol megfertőződnek az Anglerrel.
Az infrastruktúrájukat folyamatosan tovább erősítik (az Angler infrastruktúrájáról bővebben olvashat).
A probléma az, hogy ezeket az aldomaineket hatalmas mennyiségben hozzák létre, nagyon rövid élettartamúak és véletlenszerűek. Mivel nincs követhető minta, és nem biztosítanak időt az elemzésre, ezeket a fertőzési taktikákat nagyon nehéz blokkolni.
A készlet legitim weboldalaknak álcázza magát, így nehéz blokkolni anélkül, hogy véletlenül ne blokkolnánk más legitim alkalmazásokat.
Forrás: 2015 Trustwave Global Security Report
Itt van például néhány szám az idén kibontakozott és a Cisco által elemzett Dridex kampányokból.
A malware kampány gyorsan történik (9 óra), mielőtt a hagyományos vírusirtók reagálni tudnának
Ez alatt a nagyon rövid idő alatt (850)
A támadók Microsoft makrókat használnak a pénzügyi malware szállítására
A támadók gyorsan átalakítják a kampány tartalmát, például a felhasználói ügynököket, mellékleteket és hivatkozókat, és újraindítják a kampányt.
Forrás:
Forrás:
Forrás:
Forrás:
:
A ciklus újra és újra megismétlődik.
Az adatbetörésekből származó feltört hitelesítő adatokat használja fel a további terjedéshez.
A sokszor a hírekbe került adatbetörések után több millió kompromittált hitelesítő adat került a sötét webre. Ezek is eladhatóak.
Ha például az Ön e-mail címe érintett a közelmúltban történt betörések egyikében, akkor nagy valószínűséggel eladásra kínálják valamelyik dark webes piacon. A felhasználóneveddel, jelszavaddal és még a kártyaadataiddal együtt. És még sok más információt is gyűjthetnek a kiberbűnözők ezek alapján.
Az Angler mögött álló kiberbűnözők természetesen felhasználták ezeket a hitelesítő adatokat, különösen a kompromittált DNS-bejegyzéseket.
Csak egy rövid tájékoztatás:
A DNS a Domain Name System rövidítése, és egy domain név weboldalát és e-mail beállításait irányítja. Ha a DNS-bejegyzések sérülnek, a támadók hozzáférnek az adott weboldalhoz és annak tartalmához, valamint az adott domainhez tartozó e-mail címhez.
A feltört hitelesítő adatok és DNS-bejegyzések felhasználásával a kiberbűnözőknek sikerült jelentősen növelniük hatókörüket. Ugyanakkor ezt arra is felhasználták, hogy eltüntessék a nyomokat, névtelenek maradjanak, és elkerüljék, hogy a bűnüldöző szervek felfedezzék őket.
Hihető, jól felépített céloldalakat használnak az exploit eljuttatásához.
A másik lényeges tényező, amely segít abban, hogy egy kártevőprogram-kampány minél több áldozatot elérjen, a hitelesség. Ha a weboldal, amelyen az áldozatok landolnak, legálisnak tűnik, a felhasználó nagyobb valószínűséggel fog böngészni és kattintani.
A támadók ezért küldetésükké tették, hogy olyan hamis oldalakat hozzanak létre, amelyek a lehető legvalóságosabbnak tűnnek. És a sok rossz webdesign mellett nem is olyan nehéz elvegyülni.
Cisco kutatói szerint az exploit kit szerzői az adattudományra támaszkodhatnak, hogy számítógép által generált céloldalakat hozzanak létre, amelyek hasonlítanak a normál weboldalakhoz, és könnyen megtévesztik a felhasználókat. A rosszindulatú online reklámok (rosszindulatú online hirdetések) valószínűleg az ilyen oldalakra irányuló folyamatos webes forgalom fő hajtóereje.
Forrás:
Ez arról ismert, hogy hatékony rosszindulatú szoftverek fertőzési vektora.
Míg nincsenek végleges számok, amelyek ezt megerősítenék, az a hír járja, hogy az Angler nagyon hatékony “konverziós” aránnyal rendelkezik.
Ez lehet a sikerének egy része, és az egyik oka annak, hogy olyan sok támadó választja az Angler használatát a kampányaiban. Természetesen a többi rész, amelyek hozzájárulnak ehhez a magas felhasználáshoz, fentebb felsoroltak.
Mint mindig, az elemek keveréke teszi a dolgát. Sajnos ezúttal ez a világ internetfelhasználóinak kárára történik.
Hogyan terjed az Angler?
Az Angler talán az egyik legfejlettebb exploit-készlet, de ez nem elég. Ahhoz, hogy a “legkeresettebb” legyen, minél több potenciális áldozathoz kell eljutnia.
Hogyan terjesztik tehát a kiberbűnözők az Angler-t, hogy a hozzánk hasonló internetfelhasználók megfertőződjenek?
A támadók 3 fő taktikára támaszkodnak, hogy minél több számítógépet elérjenek:
Malvertising
Malicious iFrames
Malicious code injection.
Malvertising az, amikor a kiberbűnözők az online hirdetéseket használják a kártevők terjesztésére. Behatolnak a tartalomterjesztő hálózatokba, amelyek az online hirdetések weboldalakon való elhelyezéséért felelősek. Az ezen dolgozó szerverek általában meglehetősen sebezhetőek, így a támadók számára nem jelent kihívást bejutni.
Amikor már bent vannak, a hálózat összes bannerét megfertőzhetik rosszindulatú kóddal, jelen esetben olyan átirányításokkal, amelyek Angler céloldalakra vezetnek. Így olyan nagy weboldalak, mint a The Huffington Post, a Mashable vagy mások tudtukon kívül veszélyeztethetik látogatóikat.
A malvertising használatával a kiberbűnözők egyszerre rengeteg internetfelhasználót érhetnek el. Milliókról beszélünk!
És van egy másik módja is annak, hogy az Angler bejusson az Ön rendszerébe: az iFrames. Ez egy olyan mód arra, hogy egy másik weboldalról származó tartalmat illesszenek be az Ön által látogatott weboldalra. Tehát olvashatsz egy cikket a The New York Times-on, és az oldal egy másik weboldalról származó rosszindulatú tartalmat is tartalmazhat. Az ilyen típusú rosszindulatú tartalmak az Angler exploit kit oldalaira is átirányítják a felhasználókat, ahol a fertőzés elindul.
Természetesen ott van az a helyzet is, amikor a támadók úgy döntenek, hogy rosszindulatú kódot juttatnak be különböző webhelyekre. Ez a kód szintén az Angler és az ebből következő rosszindulatú fertőzések terjesztésére létrehozott weboldalak forgalmát fogja táplálni.
Mindhárom taktika a látogatók nagy webhelyekbe vetett bizalmának kihasználására épül. A kiberbűnözők ezt a bizalmi tényezőt azzal is összefüggésbe hozzák, hogy az exploit kit képes észrevétlen maradni a fertőzés során. Ez egy szörnyű kombináció, amely túl sok áldozatot csap be, akik nagyon gyakran nincsenek tudatában annak, hogy ilyen veszélyek egyáltalán léteznek.
A vírusirtó meg tud védeni az Angler ellen?
Sajnáljuk, hogy ezt kell mondanunk, de nem.
Még mindig azt gondolhatja, hogy a vírusvédelem megoldást jelent minden biztonsági problémájára, de ez csak egy mítosz.
A hagyományos vírusirtó nem tud 100%-os védelmet nyújtani. Egyetlen biztonsági megoldás sem képes erre, ezért van szükség többrétegű védelemre. Már korábban elmagyaráztam, hogy a vírusirtó miért hatástalan többnyire a legfejlettebb exploit kitekkel szemben. A felismerés elkerülésének képessége hihetetlen.
Ez nem jelenti azt, hogy nincs szükség vírusirtóra. Valójában ez egy alapvető biztonsági rendelkezés, amit meg kell tenned. De az Angler és a hasonló exploit-kitek elleni védelemhez többre van szükség, mint vírusirtó.
Itt még több bizonyíték:
Az egyik legnagyobb oka annak, hogy az Angler ennyire elterjedt és ennyi felhasználót tudott megfertőzni, a vírusvédelmi lefedettség hiánya. Július hónapban a Talos közel 3000 egyedi, exploitokhoz kapcsolódó hash-t figyelt meg. Ezt az adatot aztán lekérdezték a VirusTotalról, és azt találták, hogy a hash-oknak csak 6%-a szerepelt a VirusTotalban. Ebből a 6%-ból az átlagos észlelési arány alacsony volt, általában kevesebb mint tíz AV-motor észlelte azt.
Forrás: Forrás: S.A:
Újabb fejlesztések
Itt egy nagy friss fejlesztés, amely azt mutatja, hogy az Angler az innováció élvonalában van minden exploit kit ügyében. December elején a Heimdal Security csapata kiszúrta, hogy az Angler a CryptoWall 4.0-t, a hírhedt zsarolóprogram legújabb verzióját terjeszti.
Az Angler készítői kevesebb mint egy hónappal az első kiszúrásunk után integrálták a CryptoWall 4.0 payloadot. Tekintettel mindkét elem összetettségére, egy hónap valóban rövid idő az adoptáláshoz.
Ez persze nem áll meg itt. 2015 december elején több új szerver is az Angler disztribúciós hálózat részévé vált. A “crime as a service” felállás különböző kompromittált domaineket tartalmaz. Íme egy válogatás, amelyet a Heimdal Security szanált:
carla campbell co evancampbell me upuff us aero station us idtsolutions us linnosnes com cherhawaii com hilodayspa com miracle-touch massage com evancampbell co ecupidonline.us theflightdeck us bugado com stock real money com jerramconsulting com oldtruckpartsonline com
Egyetlen reggel alatt több mint 100 domain került blokkolásra adatbázisunkban, mert a CryptoWall 4.0 terjesztésére használták ki őket. Ráadásul az Angler-t arra is használták, hogy a fertőzött gépeket egy botnetbe kössék, így azok erőforrásait újabb támadásokhoz használhatják.
Még 2015 decemberében is erős aktivitást figyeltünk meg az Angler exploit kitben. Ebben az esetben két szervert használtak arra, hogy drive-by támadásokat juttassanak el fertőzött webhelyeken keresztül. Itt vannak a részleteik:
185.46.8 218 195.64.155 168
A Heimdal-felhasználók védelme érdekében ismét egy újabb adag fertőzött tartományt blokkoltunk. Néhányat közülük alább láthat:
galactic parks com thatcrazycousin com americanoutlawelixirs com rocket solar galactic Energy rocket voyage bigsoya com nyratwo com hydronest com seabiofuels com alpvideophoto com rocket worldwide com galactic power Energy rocket vacations levoradikal tk elginjohn com seberevolta com ozonitewater com miamilawgroup com
LATER EDIT :
2015. december 11-én, pénteken új mozgást észleltünk az Angler exploit kitben , a CryptoWall 4 telepítéséhez használt szervereken.0-t Windows rendszert futtató elavult PC-ken.
Ez az új kampány azonos módszereket használ, mint amit december 2-án fedeztünk fel, amikor először azonosítottuk az Angler-t, amely a CryptoWall 4.0-t terjeszti. Úgy tűnik továbbá, hogy a jelenlegi kampányt is ugyanaz a kiberbűnözői csoport koordinálja, akik most az Adobe Flash és az Adobe Reader vagy Acrobat Reader elavult verzióit veszik célba.
Az Angler exploit kitre jellemző módon a fertőzést kompromittált weboldalakon keresztül juttatják el, amelyek a felhasználót egy sor, erre a rosszindulatú célra létrehozott domainre irányítják.
Itt vannak a CryptoWall 4.0 Angler segítségével történő terjesztésére használt új szerverek, amelyek, mint látható, Oroszországban, Franciaországban és az Egyesült Államokban terjednek:
Amint már említettük, kutatóink megfigyelték, hogy a rosszindulatú forgalmat ezekről a szerverekről nagyszámú olyan domain használatával irányítják, amelyek egyetlen célja a drive-by támadások végrehajtása. Íme egy kis minta ezekből a tartományokból:
happy keys house com youniquenatasha com lovingallthishair com millenniumsurfaces com Team doyle net urbansignsusa net youregonnaneedabiggerboat net Clergy-women biz direktologistics com abemc net aircontrols net clergywoman info Clergy-women mobi
A fertőzési folyamat során a fent bemutatott domainekhez kapcsolódó aldomainek halmazát is használják. Ezek jelentik azt az elsődleges platformot, amelyet az Angler exploit kit a CryptoWall 4.0 drive-by támadásokban történő terjesztésére használ.
A kampány több mint 2 napos múltja ellenére a vírusirtók felismerése még mindig nagyon alacsony: a VirusTotalban felsorolt 56 vírusirtó megoldás közül jelenleg csak 7 képes azonosítani és blokkolni a támadást.
A kampány idején a felismerési arányok teljes listájáért kattintson ide.
A Cisco’s Talos megosztott néhány, az ő hírszerzésükből kinyert számadatot, amelyek azt mutatják, hogy az Angler milyen hatással van az áldozataira. Különösen azért, mert az Angler a zsarolóprogramok kedvelt fertőzési vektora. Párosítva a fertőzésnek szinte biztos esélye van a sikerre.
Az áldozatnak az adatai titkosítva maradnak, és egyetlen módja van, hogy visszakapja őket: ki kell fizetnie a váltságdíjat. Természetesen, ha van biztonsági mentésük, nem kell azon töprengeniük, hogy fizessenek-e vagy sem. De ha nincs biztonsági másolat…
Forrás: Forrás: Vl:
Az Angler terjesztési kampányok természetesen nagyon alacsony antivírus felismeréssel rendelkeznek, így nem titok, hogy nagy valószínűséggel ki vagy téve, ha nem tartasz be néhány alapvető biztonsági szabályt.
Hogyan védhetem meg a rendszeremet az Anglerrel szemben?
Beszéltünk már arról, hogy az Angler hogyan tudja integrálni a piacon lévő legújabb szoftveres sebezhetőségeket. De nem ezek az egyetlenek, amelyekre a kiberbűnözők vadásznak.
Sőt, az Angler képes olyan biztonsági rések keresésére és kihasználására, amelyeket a szoftvergyártók már befoltoztak. Ha a felhasználók nem alkalmazzák a frissítéseket, a sebezhetőségek továbbra is fennállnak. És mindannyian tudjuk, hogy sokan elmaradnak ezzel a kulcsfontosságú biztonsági gyakorlattal.
A kihasználási készlet védelme viszonylag egyszerű beállítás. Nincs szükség műszaki ismeretekre ahhoz, hogy biztonságban legyen az Anglerrel és az általa terjesztett rosszindulatú szoftverekkel szemben. Íme egy hasznos ellenőrző lista a kezdéshez:
Böngészőjének védelme
Az Angler által terjesztett fertőzések nagy része a felhasználó böngészőjében található sebezhetőséget használja ki. Többféle módon veszélyeztethetik a rendszerét: a bővítményekben lévő biztonsági réseken keresztül, mert nem a legújabb verziót telepítette, stb.
De van rá mód, hogy biztosítsa, hogy a böngészője ne tegye ki magát kibertámadásoknak! Csak kövesse az alábbi lépéseket:
A végső útmutató az online böngészés biztonságához: Chrome, Firefox és Internet Explorer
Tartsd naprakészen a szoftvereidet
Mint láttad, a világ leggyakrabban használt alkalmazásai egyben a legsebezhetőbbek is, akár a Flashről, akár a Chrome-ról beszélünk.
A bizalom az, hogy sok biztonsági rést egyszerűen bezárhatsz a rendszeredben, ha rendszeresen frissítéseket alkalmazol. És ugyanez vonatkozik természetesen az operációs rendszerére is.
Vessen egy pillantást ezekre a statisztikákra, hogy meggyőződjön róla, miért nem szabad soha többé figyelmen kívül hagynia egy frissítést:
8 sebezhető szoftveralkalmazás, amely kiteszi számítógépét a kibertámadásoknak
Használjon vírusirtót
A vírusirtó talán nem túl hatékony a fejlett exploit kitek vagy zsarolóprogram-támadások ellen, de ettől még szüksége van rá. Ez egy alapvető védelmi vonal, és mindenképpen használnia kell.
Ha elveszett a túl sok lehetőség között, használhatja az általunk összeállított útmutatót, amely segít kiválasztani a legjobb vírusirtót a rendszeréhez.
Melyik a legjobb vírusirtó a számítógépemhez? A Step-By-Step Research Guide
Védje rendszerét a zsarolóprogramoktól a megfelelő eszközökkel
Ha a vírusirtó nem tud megvédeni az Angler vagy a zsarolóprogramoktól, akkor mi tud?
Vannak olyan eszközök, amelyek képesek megakadályozni, hogy az Angler vagy az olyan zsarolóprogramok, mint a CryptoWall elérjék a rendszerét. Ezek proaktívan lépnek fel, és átvizsgálják az internetes forgalmat, hogy blokkolják a potenciálisan veszélyes webhelyekhez való hozzáférést.
Ezekről az eszközökről bővebben olvashat ebben a praktikus listában, amelyet pontosan erre a célra készítettünk:
Is Antivirus Dead? Meet The NextGen Anti-Hacking Tools
Backup your data
Az adatok biztonsági mentése nem szexi dolog. A legtöbb ember unalmasnak és időigényesnek találja, és nem igazán látja az előnyeit. Pedig nem győzzük elégszer hangsúlyozni, mennyire fontos.
Az adatok biztonsági mentése bármikor kihúzhatja Önt a bajból!
Ha a számítógépét megfertőzi a zsarolóprogram, nem kell kifizetnie a váltságdíjat. Ha a fertőzés eltávolításához rendszertörlést kell végeznie, nem kell elveszítenie a fájljait. Ha bármi történik, továbbra is hozzáférhet fontos dokumentumaihoz, képeihez és egyéb adathordozóihoz.
Ne feledje azonban, hogy a felhőalapú biztonsági mentés nem elég. A zsarolóprogramok egyes típusai képesek titkosítani a Google Drive-on lévő adatokat, ha az a fertőzött számítógépen van szinkronizálva.
Szóval készítsen biztonsági mentést az adatairól MOST, majd tegye ezt gyakran.
Nem tudja, hol kezdje?
Megvan a megoldás:
Hogyan készítsen biztonsági mentést a számítógépéről – a legjobb tanácsok egy helyen
De ne feledje: ezek az útmutatók mind csak akkor működnek, ha alkalmazza őket. Ha egyszer megteszed, máris meglesz a saját online biztonsági beállításod, amelyet fejleszthetsz és módosíthatsz a kedvedre.
Technikai elemzés: nézd meg közelebbről az Angler exploit kitet
Azoknak, akiknek egy kicsit nagyobb étvágyuk van az Anglerrel kapcsolatos betekintésre, összeszedtünk néhány technikai elemzést, amelyek bemutatják, hogyan működik ez a bizonyos exploit kit.
Sophos: “A closer look at the Angler exploit kit”
IXIA: “Angler Exploit Kit Deobfuscation and Analysis”
SANS Edu: “Angler exploit kit pushed new variant of ransomware”
Websense Security Labs Blog: “
Trend Micro: “Evolution of Exploit Kits”
Cisco blog: “Threat Spotlight:
Cisco Talos: “Angler exposed.”
Következtetés
Remélem, hogy most már jobban érti, mire képes az Angler és más exploit kitek. Nagy kihívás lépést tartani az online biztonsággal, és ezt saját tapasztalatomból tudom. De nagyon fontos is.
Az internet kivételes lehetőségeket kínál a tanuláshoz, a munkához és az emberi fejlődéshez. De a “csomag” tartalmaz néhány olyan veszélyt is, amelyeket néha nehéz megérteni.
Azt remélem tehát, hogy a mai napon elértem a küldetésem egy részét, vagyis azt, hogy segítsek tisztábban látni a dolgokat, és valóban megérteni, miért kell az online biztonságnak a teendőid listáján lennie. A lista hosszú; nekem is van egy halom. De nem engedhetem meg magamnak, hogy munkámat és szenvedélyeimet megzavarják a kiberbűnözők.
Te is?
A Heimdal™ Threat Prevention Home gondoskodik arról, hogy ez a link biztonságos legyen!
A szülei és barátai minden gyanús linkre rákattintanak, ezért gondoskodjon arról, hogy védve legyenek.
AHeimdal™ Threat Prevention Home biztosítja:Automatikus és csendes szoftverfrissítéseketOkos védelmet a rosszindulatú programok ellenKompatibilitást bármely hagyományos vírusirtóval.
