Инфраструктуре набора эксплойтов Angler разрушена

У Threatpost на прошлой неделе вышла история о победе над крупной вымогательской кампанией, связанной с набором эксплойтов Angler. Эксперты из группы безопасности Talos компании Cisco «погасили порядка 50% активности набора

У Threatpost на прошлой неделе вышла история о победе над крупной вымогательской кампанией, связанной с набором эксплойтов Angler. Эксперты из группы безопасности Talos компании Cisco «погасили порядка 50% активности набора эксплойтов».

Angler

Angler — известный набор эксплойтов (exploit kit), который считается одним из самых изощрённых наборов на подпольном рынке.

Он обладает некоторыми специфическими возможностями, такими как обнаружение виртуальных машин VMware, VirtualBox, Parallels и др. Виртуальные машины часто используются в качестве приманок и испытательных стендов экспертами по безопасности, и авторы Angler пошли на многое, чтобы обезопасить своё творение от исследований. Angler обнаруживает отладочный веб-прокси под названием Fiddler, также популярный у исследователей. После обнаружения комплект сразу удирает, так что это действительно крепкий орешек для специалистов по ИТ-безопасности.

Angler является одним из наборов эксплойтов, быстрее всех включающих в себя недавно выпущенные уязвимости нулевого дня. Его операторы, вероятно, вовсю занимаются их поиском. Вредоносные программы Angler работают из памяти, без необходимости прописываться на жёстких дисках жертв.

Комплект также тесно связан с программами-вымогателями, а именно с вариантами CryptoWall 3.0 или TeslaCrypt 2.0.

Бал окончен или…?

Теперь крылья ему более или менее подрезали. Его слабым местом оказался хостинг: многие из прокси-серверов Angler были размещены на площадке компании Limestone Networks в Далласе, США. Компания активно сотрудничала с борцами с Angler, в частности, предоставила исследователям с образы дисков серверов, которые использовались для осуществления вредоносной деятельности. Оказалось, что один сервер подключался к 147 другим прокси-серверам, занимавшимся обфускацией вредоносного трафика в течение 30 дней.

За месяц мониторинга эксперты наблюдали каждый из этих 147 серверов, скомпрометировавших 3600 пользователей и доведших общее число жертв до 529 000. Даже если примерно 3% пользователей платят выкуп, как утверждает Threatpost, куш злоумышленников увеличился на $3 млн за один месяц.

Обычно мишенями становились пользователи старых, неисправленных версий Adobe Flash и Internet Explorer, особенно те, кто часто посещал веб-сайты для взрослых и, что самое гнусное, сайты некрологов. По мнению экспертов, злоумышленники использовали сайты некрологов, чтобы атаковать пожилых людей, которые более склонны использовать уязвимые версии IE и оказываются более восприимчивы к вымогателям.

Предложите в комментариях свои эпитеты в адрес этих затейников. Мне на ум приходят только самые непарламентские выражения.

Наши коллеги из Talos проделали прекрасную работу в отношении Angler. Надеюсь, этот комплект будет полностью уничтожен в один прекрасный день, как и Blackhole до него.

Решение проблемы

Наборы эксплойтов — давняя проблема как для конечных пользователей, так и для предприятий: комплекты проверяют атакуемую систему на множество уязвимостей, в том числе нулевого дня, и при обнаружении бреши сразу следует заражение.

Для противодействия эксплойтам требуются, в частности, средства поведенческого анализа. Вредоносные программы могут многочисленны и разнообразны, но большинство следуют сходным поведенческим паттернам, что позволяет их вычислить и заблокировать до того, как они нанесут какой-либо вред.

Технология Automatic Exploit Prevention «Лаборатории Касперского» использует информацию о наиболее типичном поведении известных эксплойтов, что помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.

Эксплойты нередко заранее загружают файлы до непосредственного инфицирования системы. Automatic Exploit Prevention следит за обращением программ к сети и анализирует исходные файлы. Если происходит что-то подозрительное, соответствующий трафик блокируется.

На этой странице можно узнать больше о технологии Automatic Exploit Prevention.

Советы