Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

Cisco нанесла мощный удар по сообществу киберпреступников, поставив под угрозу крупный источник нелегальных доходов, создаваемый при помощи эксплойт-набора Angler. Angler считается самым изощренным и опасным эксплойт-набором. Он спроектирован так, чтобы преодолевать системы защиты и поражать огромные количества разнообразных устройств.

Благодаря сотрудничеству с лабораторией Level 3 Threat Research Labs подразделение  Cisco Talos получило дополнительную информацию об этой вредоносной сети. Кроме того, с помощью компании OpenDNS удалось добиться углубленного понимания доменной активности, осуществляемой Angler. После этого Cisco приняла контрмеры:

  • обновление соответствующих продуктов позволило заблокировать доступ заказчиков к прокси-серверам Angler;
  • были выпущены специальные наборы правил для системы Snort, позволившие выявлять и блокировать внутренние коммуникации вредоносной сети;
  • через систему Snort все правила были предоставлены сообществу;
  • для того, чтобы и другие вендоры могли защитить себя и своих заказчиков, были опубликованы данные о механизмах взаимодействия и протоколах, используемых Angler;
  • кроме того, Cisco опубликовала индикаторы компрометации, позволяющие анализировать свою сетевую активность и блокировать доступ к оставшимся вредоносным серверам.

 

Эксплойт-набор Angler постоянно находится в поле зрения и часто упоминается в новостях из мира информационной безопасности (ИБ), посвященных теневым доменам, уязвимостям нулевого дня и масштабным кампаниям по распространению вредоносной рекламы. Налицо непрекращающаяся война между киберпреступниками и силами информационной безопасности. Компания Cisco пристально следит за деятельностью злоумышленников и неустанно совершенствует свои знания о киберугрозах. В рамках этой борьбы подразделение Cisco Talos провело тщательное исследование телеметрической информации, связанной с Angler, и сделало ряд открытий.

Активный сбор информации начался в июле 2015 года, когда Angler подвергся некоторым усовершенствованиям. Анализ собранной информации позволил выявить ряд закономерностей, касающихся использования хостинга, доменов, referer-заголовков, эксплойтов и рабочих нагрузок вредоносного ПО.

Так, выяснилось, что множество прокси-серверов (серверов-посредников), используемых Angler, расположено на площадках компании Limestone Networks (хостинг-провайдер в штате Техас). Они обеспечивали до половины всей активности Angler, заражая около 90 тыс. жертв в день и ежегодно принося злоумышленникам приблизительно 30 млн долларов США только за счет программ-вымогателей.  Совокупный же доход, получаемый киберпреступниками в результате всей деятельности Angler, мог превышать 60 млн долларов в год.

Сотрудничество с компанией Limestone позволило специалистам подразделения Talos выявить важную информацию о деятельности Angler — например, подробные данные о коммуникациях, управлении и масштабировании этого вредоносного ПО. Выяснилось, что механизм работы эксплойт-набора Angler предусматривает работу через сеть посреднических прокси-серверов. Во главе этой сети находится управляющий сервер, обеспечивающий распространение вредоносной активности через множество серверов-посредников.  Конечные пользователи взаимодействуют именно с прокси-серверами, благодаря чему злоумышленники могут быстро менять структуру коммуникаций и тем самым предотвращать обнаружение главного управляющего сервера. Кроме того, в этой системе есть сервер, используемый для наблюдения за работоспособностью всей вредоносной сети. Он собирает данные об узлах, зараженных эксплойтом, а при обнаружении дистанционно удаляет все следы своего присутствия. Изучив работу этого сервера, специалисты Talos смогли оценить масштаб всей кампании и сделать приблизительную оценку финансовых потоков, связанных с данной вредоносной активностью.

За последние годы технологии монетизации вредоносного ПО значительно продвинулись вперед. Каждый год происходят те или иные изменения, которые со временем складываются в крупные усовершенствования. Сегодня мы наблюдаем результаты многолетнего прогресса: объединив ряд предшествующих усовершенствований и технологии обманных загрузок (drive-by downloads), злоумышленники создали самую эффективную и прибыльную атаку, какую когда-либо видел Интернет.

 

[1] Оригинал этой статьи опубликован здесь.

 

----

Львовские имена

Львовские имена. Статья Владислава Боярова. 22.08.2023 г.

Галопом по вычислительным Европам. Часть 6. Спецпроцессоры.

Галопом по вычислительным Европам. Часть 6. Спецпроцессоры. Часть 5. Память. Статья Ильи Вайцмана. 15.03.2023 г.

«Домашний компьютер». Конкурс в Самаре.

«Домашний компьютер». Конкурс в Самаре.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть третья, объединительная

Кому кризис, а кому окно возможностей

Кому кризис, а кому окно возможностей. Статья Владислава Боярова. 17.07.2023 г.