Angler Exploit Kit (EK) : un kit au top !

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Angler Exploit Kit (EK) est un des kits d'exploitation les plus utilisés avec Nuclear Pack.

Il a vu le jour après l'arrestation de Paunch, l'auteur de BlackHole Exploit Kit. Les gains sont tels que dès qu'un libère la place un autre le remplace. Angler EK est rapidement devenu un des Exploits kits les plus utilisés par les criminels.
Il permet donc d'effectuer des attaques Drive-By Download.

Pour rappel, un Exploit Kit représente des codes malveillants qui permettent d'infecter en masse des internautes, à la simple visite d'un site WEB ou d'un lien piégé, en exploitant des vulnérabilités sur le système d'exploitation ou sur les logiciels installés. Souvent ces vulnérabilités sont directement greffées sur le navigateur WEB via les plugins comme Java, Flash, etc,...

L'Exploit Kit est capable de générer des statistiques ( % d'internautes infectés, par pays, etc ) et offre des fonctions de filtrages comme par exemple reconnaitre les antivirus installés et/ou d'infecter un navigateur plutôt qu'un autre et/ou de limiter les infections qu'à une zone géographique, etc..

Ce dernier possède des mécanismes qui permettent de générer de nouvelles URLs tous les X minutes sur des IPs différentes afin d'éviter d'être sur les listes noires des solutions de sécurité ( blacklist ). Passé un moment, Angler EK utilisait carrément des sous-domaines via des comptes piratés chez l'hébergeur GoDaddy.
De plus, des filtres sont aussi mises en place pour que les antivirus ne puissent suivre ces URLs ou bloquer des chercheurs en sécurité, par exemple Angler Exploit Kit ne vise que les utilisateurs d'Internet Explorer.

Les cybercriminels peuvent aussi utiliser l'interface de programme ( API ) pour envoyer le traffic vers Angler EK. Ils peuvent ainsi être rémunérés en temps réel sur le nombre de victimes ou sur la base du volume de traffic de l'Exploit Kit.

Dans son étude, Sophos indique qu'en septembre 2014 Angler EK était à 22% et la répartition entre les divers Exploit Kit connus (Magnitude, Neutrino, Fiesta) étaient assez égales. ( https://blogs.sophos.com/2015/07/21/a-c ... ploit-kit/ En Aout 2014, j'avais publié une actualité où Magnitude ExploitKit avait été utilisé par un groupe pour pousser le ransomware Cryptowall via des malvertising.

Ces malvertising ont été stoppées à la fin du premier trimestre 2015, d'où la chute de Magnitude en mai.
Aujourd'hui, il ne reste que deux gros : Angler EK & Nuclear Pack EK se partagent le gâteau.

Dernières activités d'Angler EK :
Angler_EK_stats_Sophos.png
La charge ( payload ) :
Angler_EK_stats_Sophos_2.png
Angler_EK_stats_Sophos_2.png
On voit içi qu'Internet Explorer est plus visé que le reste. C'est souvent le cas, les malvertising filtrent sur le navigateur WEB pour ne viser qu'Internet Explorer. Exemple concret avec cette image issue de la page [en] OpenX Hacks example (malvertising).
Angler_EK_Payload.png
Parmi les codes malveillants les plus distribués :
Angler_EK_Payload_2.png
Comme tous les kits, Angler EK est constamment mis à jour afin d'inclure de nouvelles vulnérabilités.
D'après les analystes, il supporterait à l'heure actuelle + de 35 vulnérabilités Flash différentes !
Dernièrement, la vulnérabilité CVE-2015-5560 qui affecte les versions 18.0.0.232 est exploitée.
Je vous invite à suivre le blog de notre ami Kafeine qui suit les Exploit Kit de près :
AnglerEK_Flash.png

Angler EK possède de multiples méthodes pour échapper aux antivirus et au chercheur en sécurité : http://researchcenter.paloaltonetworks. ... mpromised/
Static/Signature analysis evasion
Browser emulator evasion
User Agent-based evasion
Cookie-based evasion
Liens connexes (ѠOOT):
http://malware.dontneedcoffee.com/searc ... ngler%20EK
https://blogs.sophos.com/2015/07/21/a-c ... ploit-kit/
https://www.fireeye.com/blog/threat-res ... _inte.html
Angler EK * CVE-2015-7645 (Flash up to 19.0.0.207) & Exploit Kits
Angler EK * The Casino Malvertising Campaign
Angler EK * Readers digest & other Wordpress sites compromised
Angler EK continues to evade detection, over 90 000 websites compromised

Liens internes:
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Angler Exploit Kit contourne les détections et continue d'infecter massivement des sites internet

En France, le kit délivre actuellement, le rançongiciel TeslaCrypt.

Quelques chiffres : Entre le 5 et 16 novembre 2015, 90 000 sites WEB auraient été utilisés par Angler EK.
* 1500 IPs / serveurs utilisés par le kit d'exploitation,
* 177 domaines classés dans le top 100 d'Alexa,
* 40 domaines classés dans le top 10 d'Alexa.
Angler_Exploit_Kit.png
Les données du billet Symantec - Angler EK 2005 indique que la France représente 5% du traffic.
Symantec clame également être à la source du blocage de 25 millions d'ExploitKit par mois !
Angler_EK_repartition_Windows.png
Angler_EK_Pays.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

La répartition des vulnérabilités qui ont été exploitées par produit.
Côté plugins : Java, Flash et SilverLight restent toujours très utilisés.

Si avant 2014, Java était en tête (voir Exploits Java toujours aussi efficaces, 2014/2015 marque une utilisation plus massive des vulnérabilités Flash qui d'ailleurs a été abandonné par l'éditeur Adobe.

Coté navigateurs : Internet Explorer arrive encore en tête.

Image

Image

(source : Bromium Labs).

D'après F-Secure, en début d'année, les utilisateurs du kit d'exploitation Angler se sont payés des vacances car il y a eu une chute de son utilisation au profit du kit Neutrino puis.. tout est revenu à la normale.
Angler_EK_hits.png
Angler_EK_hits_2.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Une vidéo YouTube : "Devenir une victime d'Angler ExploitKit"

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Autopsie d'une autre campagne Angler EK à travers les détournements de sites WordPress et Joomla.
Notez que le kit filtre les navigateurs WEB pour ne viser qu'Internet Explorer, l'ex navigateur de Microsoft.

Les détails : ExploitKit : Campagne malicieuse Amedia / megaadvertize.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Une entrée sur le blog de Cyphort Labs pour mentionner une quinzaine de sites piratés pour placer Angler EK :
Angler_ExploitKit_site_pirate.png
Dans cette liste, on note la présence du site officiel du célèbre utilitaire UltraVNC.

Malwarebytes Anti-Malware avait aussi signalé une compromission du site officiel des cinémas Pathé, un Angler EK avait été ensuite déposé pour y diffuser le rançongiciel Ransomware CryptXX. Une belle opération de la part des criminels car ce site s'avère nettement plus fréquenté lors d'évènements importants comme le festival de Cannes 2016.

Image
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Angler EK est capable de bypasser la protection EMET rélève FireEeye.
=> ANGLER EXPLOIT KIT EVADING EMET.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Dans son blog, Kafeine nous apprend que le 7 Juin 2016, Angler EK a disparu.
Sachant que Nuclear Pack a aussi été arrêté le 30 avril 2016.

Les acteurs se sont tournés vers Magnitude EK et Neutrino EK.

Difficile de donner une raison à ce possible arrêt mais les dernières arrestations peuvent avoir effrayées des groupes ou c'est peut être simplement parce qu'il y a d'autres affaires bien plus rentables que les ExploitKits.

>> Is it the End of Angler ?
ExploitKit_stats.png
ou encore :
exploitkit-activite.png
source : https://www.proofpoint.com/us/corporate ... eb-attacks
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116211
Inscription : 10 sept. 2005 13:57

Re: Angler Exploit Kit (EK) : un kit au top !

par Malekal_morte »

Un des membre du groupe à l'origine du kit a été arrête, plus d'informations : Arrestation liée à WannaCry.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »