Angler
У Threatpost на прошлой неделе вышла история о победе над крупной вымогательской кампанией, связанной с набором эксплойтов Angler. Эксперты из группы безопасности Talos компании Cisco «погасили порядка 50% активности набора эксплойтов».
Angler
Angler — известный набор эксплойтов (exploit kit), который считается одним из самых изощрённых наборов на подпольном рынке.
Он обладает некоторыми специфическими возможностями, такими как обнаружение виртуальных машин VMware, VirtualBox, Parallels и др. Виртуальные машины часто используются в качестве приманок и испытательных стендов экспертами по безопасности, и авторы Angler пошли на многое, чтобы обезопасить своё творение от исследований. Angler обнаруживает отладочный веб-прокси под названием Fiddler, также популярный у исследователей. После обнаружения комплект сразу удирает, так что это действительно крепкий орешек для специалистов по ИТ-безопасности.
Angler является одним из наборов эксплойтов, быстрее всех включающих в себя недавно выпущенные уязвимости нулевого дня. Его операторы, вероятно, вовсю занимаются их поиском. Вредоносные программы Angler работают из памяти, без необходимости прописываться на жёстких дисках жертв.
Комплект также тесно связан с программами-вымогателями, а именно с вариантами CryptoWall 3.0 или TeslaCrypt 2.0.
Набор эксплойтов Angler погашен, крупная вымогательская кампания остановлена #эксплойты #вымогательскоеПО #бизнесбезугроз
Tweet
Бал окончен или…?
Теперь крылья ему более или менее подрезали. Его слабым местом оказался хостинг: многие из прокси-серверов Angler были размещены на площадке компании Limestone Networks в Далласе, США. Компания активно сотрудничала с борцами с Angler, в частности, предоставила исследователям с образы дисков серверов, которые использовались для осуществления вредоносной деятельности. Оказалось, что один сервер подключался к 147 другим прокси-серверам, занимавшимся обфускацией вредоносного трафика в течение 30 дней.
За месяц мониторинга эксперты наблюдали каждый из этих 147 серверов, скомпрометировавших 3600 пользователей и доведших общее число жертв до 529 000. Даже если примерно 3% пользователей платят выкуп, как утверждает Threatpost, куш злоумышленников увеличился на $3 млн за один месяц.
Обычно мишенями становились пользователи старых, неисправленных версий Adobe Flash и Internet Explorer, особенно те, кто часто посещал веб-сайты для взрослых и, что самое гнусное, сайты некрологов. По мнению экспертов, злоумышленники использовали сайты некрологов, чтобы атаковать пожилых людей, которые более склонны использовать уязвимые версии IE и оказываются более восприимчивы к вымогателям.
Предложите в комментариях свои эпитеты в адрес этих затейников. Мне на ум приходят только самые непарламентские выражения.
Наши коллеги из Talos проделали прекрасную работу в отношении Angler. Надеюсь, этот комплект будет полностью уничтожен в один прекрасный день, как и Blackhole до него.
Решение проблемы
Наборы эксплойтов — давняя проблема как для конечных пользователей, так и для предприятий: комплекты проверяют атакуемую систему на множество уязвимостей, в том числе нулевого дня, и при обнаружении бреши сразу следует заражение.
До демонтажа авторы Angler могли заработывать до $3 млн. в месяц #Angler #бизнебезугроз
Tweet
Для противодействия эксплойтам требуются, в частности, средства поведенческого анализа. Вредоносные программы могут многочисленны и разнообразны, но большинство следуют сходным поведенческим паттернам, что позволяет их вычислить и заблокировать до того, как они нанесут какой-либо вред.
Технология Automatic Exploit Prevention «Лаборатории Касперского» использует информацию о наиболее типичном поведении известных эксплойтов, что помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.
Эксплойты нередко заранее загружают файлы до непосредственного инфицирования системы. Automatic Exploit Prevention следит за обращением программ к сети и анализирует исходные файлы. Если происходит что-то подозрительное, соответствующий трафик блокируется.
На этой странице можно узнать больше о технологии Automatic Exploit Prevention.
Советы