Angler Exploit Kit (EK) : un kit au top !

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 07 sept. 2015 19:31

Angler Exploit Kit (EK) est un des kits d'exploitation les plus utilisés avec Nuclear Pack.

Il a vu le jour après l'arrestation de Paunch, l'auteur de BlackHole Exploit Kit. Les gains sont tels que dès qu'un libère la place un autre le remplace. Angler EK est rapidement devenu un des Exploits kits les plus utilisés par les criminels.

Pour rappel, un Exploit Kit représente des codes malveillants qui permettent d'infecter en masse des internautes, à la simple visite d'un site WEB ou d'un lien piégé, en exploitant des vulnérabilités sur le système d'exploitation ou sur les logiciels installés. Souvent ces vulnérabilités sont directement greffées sur le navigateur WEB via les plugins comme Java, Flash, etc,...

L'Exploit Kit est capable de générer des statistiques ( % d'internautes infectés, par pays, etc ) et offre des fonctions de filtrages comme par exemple reconnaitre les antivirus installés et/ou d'infecter un navigateur plutôt qu'un autre et/ou de limiter les infections qu'à une zone géographique, etc..

Ce dernier possède des mécanismes qui permettent de générer de nouvelles URLs tous les X minutes sur des IPs différentes afin d'éviter d'être sur les listes noires des solutions de sécurité ( blacklist ). Passé un moment, Angler EK utilisait carrément des sous-domaines via des comptes piratés chez l'hébergeur GoDaddy.
De plus, des filtres sont aussi mises en place pour que les antivirus ne puissent suivre ces URLs ou bloquer des chercheurs en sécurité, par exemple Angler Exploit Kit ne vise que les utilisateurs d'Internet Explorer.

Les cybercriminels peuvent aussi utiliser l'interface de programme ( API ) pour envoyer le traffic vers Angler EK. Ils peuvent ainsi être rémunérés en temps réel sur le nombre de victimes ou sur la base du volume de traffic de l'Exploit Kit.

Dans son étude, Sophos indique qu'en septembre 2014 Angler EK était à 22% et la répartition entre les divers Exploit Kit connus (Magnitude, Neutrino, Fiesta) étaient assez égales. ( https://blogs.sophos.com/2015/07/21/a-c ... ploit-kit/ En Aout 2014, j'avais publié une actualité où Magnitude ExploitKit avait été utilisé par un groupe pour pousser le ransomware Cryptowall via des malvertising.

Ces malvertising ont été stoppées à la fin du premier trimestre 2015, d'où la chute de Magnitude en mai.
Aujourd'hui, il ne reste que deux gros : Angler EK & Nuclear Pack EK se partagent le gâteau.

Dernières activités d'Angler EK :
Angler_EK_stats_Sophos.png
Sophos Exploit Kit
La charge ( payload ) :
Angler_EK_stats_Sophos_2.png
Sophos Exploit Kit
Angler_EK_stats_Sophos_2.png
Sophos Exploit Kit
On voit içi qu'Internet Explorer est plus visé que le reste. C'est souvent le cas, les malvertising filtrent sur le navigateur WEB pour ne viser qu'Internet Explorer. Exemple concret avec cette image issue de la page [en] OpenX Hacks example (malvertising).
Angler_EK_Payload.png
Sophos Angler Exploit kit
Parmi les codes malveillants les plus distribués :
Angler_EK_Payload_2.png
Sophos Angler Exploit kit
Angler_EK_Payload_2.png (5.46 Kio) Consulté 2899 fois
Comme tous les kits, Angler EK est constamment mis à jour afin d'inclure de nouvelles vulnérabilités.
D'après les analystes, il supporterait à l'heure actuelle + de 35 vulnérabilités Flash différentes !
Dernièrement, la vulnérabilité CVE-2015-5560 qui affecte les versions 18.0.0.232 est exploitée.
Je vous invite à suivre le blog de notre ami Kafeine qui suit les Exploit Kit de près :
AnglerEK_Flash.png
Angler Exploit Kit Flash

Angler EK possède de multiples méthodes pour échapper aux antivirus et au chercheur en sécurité : http://researchcenter.paloaltonetworks. ... mpromised/
Static/Signature analysis evasion
Browser emulator evasion
User Agent-based evasion
Cookie-based evasion
Liens connexes (ѠOOT):
http://malware.dontneedcoffee.com/searc ... ngler%20EK
https://blogs.sophos.com/2015/07/21/a-c ... ploit-kit/
https://www.fireeye.com/blog/threat-res ... _inte.html
Angler EK * CVE-2015-7645 (Flash up to 19.0.0.207) & Exploit Kits
Angler EK * The Casino Malvertising Campaign
Angler EK * Readers digest & other Wordpress sites compromised
Angler EK continues to evade detection, over 90 000 websites compromised

Liens internes:
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 12 janv. 2016 10:36

Angler Exploit Kit contourne les détections et continue d'infecter massivement des sites internet

En France, le kit délivre actuellement, le rançongiciel TeslaCrypt.

Quelques chiffres : Entre le 5 et 16 novembre 2015, 90 000 sites WEB auraient été utilisés par Angler EK.
* 1500 IPs / serveurs utilisés par le kit d'exploitation,
* 177 domaines classés dans le top 100 d'Alexa,
* 40 domaines classés dans le top 10 d'Alexa.
Angler_Exploit_Kit.png
Angler Exploit Kit (EK)
Les données du billet Symantec - Angler EK 2005 indique que la France représente 5% du traffic.
Symantec clame également être à la source du blocage de 25 millions d'ExploitKit par mois !
Angler_EK_repartition_Windows.png
Angler Exploit Kit (Windows)
Angler_EK_Pays.png
Angler EK par pays
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 20 janv. 2016 21:41

La répartition des vulnérabilités qui ont été exploitées par produit.
Côté plugins : Java, Flash et SilverLight restent toujours très utilisés.

Si avant 2014, Java était en tête (voir Exploits Java toujours aussi efficaces, 2014/2015 marque une utilisation plus massive des vulnérabilités Flash qui d'ailleurs a été abandonné par l'éditeur Adobe.

Coté navigateurs : Internet Explorer arrive encore en tête.

Image

Image

(source : Bromium Labs).

D'après F-Secure, en début d'année, les utilisateurs du kit d'exploitation Angler se sont payés des vacances car il y a eu une chute de son utilisation au profit du kit Neutrino puis.. tout est revenu à la normale.
Angler_EK_hits.png
Angler EK hits
Angler_EK_hits.png (6.44 Kio) Consulté 2513 fois
Angler_EK_hits_2.png
Angler EK hits
Angler_EK_hits_2.png (7.26 Kio) Consulté 2513 fois
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 08 févr. 2016 16:54

Une vidéo YouTube : "Devenir une victime d'Angler ExploitKit"

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 20 févr. 2016 16:13

Autopsie d'une autre campagne Angler EK à travers les détournements de sites WordPress et Joomla.
Notez que le kit filtre les navigateurs WEB pour ne viser qu'Internet Explorer, l'ex navigateur de Microsoft.

Les détails : ExploitKit : Campagne malicieuse Amedia / megaadvertize.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 19 mai 2016 22:50

Une entrée sur le blog de Cyphort Labs pour mentionner une quinzaine de sites piratés pour placer Angler EK :
Angler_ExploitKit_site_pirate.png
Liste de sites compromis utilisés pour déposer Angler EK dans le but de diffuser le rançongiciel CryptXXX
Dans cette liste, on note la présence du site officiel du célèbre utilitaire UltraVNC.

Malwarebytes Anti-Malware avait aussi signalé une compromission du site officiel des cinémas Pathé, un Angler EK avait été ensuite déposé pour y diffuser le rançongiciel Ransomware CryptXX. Une belle opération de la part des criminels car ce site s'avère nettement plus fréquenté lors d'évènements importants comme le festival de Cannes 2016.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 07 juin 2016 13:22

Angler EK est capable de bypasser la protection EMET rélève FireEeye.
=> ANGLER EXPLOIT KIT EVADING EMET.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Angler Exploit Kit (EK) : un kit au top !

Message par Malekal_morte » 13 juin 2016 10:30

Dans son blog, Kafeine nous apprend que le 7 Juin 2016, Angler EK a disparu.
Sachant que Nuclear Pack a aussi été arrêté le 30 avril 2016.

Les acteurs se sont tournés vers Magnitude EK et Neutrino EK.

Difficile de donner une raison à ce possible arrêt mais les dernières arrestations peuvent avoir effrayées des groupes ou c'est peut être simplement parce qu'il y a d'autres affaires bien plus rentables que les ExploitKits.

>> Is it the End of Angler ?
ExploitKit_stats.png
Web ExploitKit Stats
ou encore :
exploitkit-activite.png
Web ExploitKit Stats
source : https://www.proofpoint.com/us/corporate ... eb-attacks
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités