Cisco struck a blow to a group of hackers, disrupting a significant international revenue stream generated by the notorious Angler Exploit Kit (EK). Angler is one of the largest exploit kit found on the market and has been making news as it has been linked to several high profile malvertising/ransomware campaigns. This is the most advanced and concerning exploit kit on the market - designed to bypass security devices and ultimately attack the largest number of devices possible.
In its research, Cisco determined that an inordinate number of proxy servers used by Angler were located on servers of service provider Limestone Networks with the primary threat actor responsible for up to 50 percent of Angler Exploit Kit activity, targeting up to 90,000 victims a day, and generating more than $30M annually. This implies that if you apply the full scope of Angler activity the revenue generated could exceed $60M annually.
⚔ http://talosintel.com/angler-exposed/
Liens connexes:
Angler Exploit Kit : un kit au top !
Attacking Diffie-Hellman protocol implementation in the Angler Exploit Kit
[⬛⬛⬛] Rappels : Qu'est-ce qu'un kit d'exploitation de vulnérabilités ( Exploit Kit ) ?
C'est en quelque sorte une boîte à outils qui permet aux attaquants d'automatiser l'exploitation de vulnérabilités sur de grandes quantités de terminaux. Les déploiements et les utilisations sont simplifiés à l'extrême pour que des attaquants inexpérimentés puissent superviser et contrôler leurs campagnes d'infections comme de véritables professionnels du crime. Ces kits représentent une menace permanente pour la sécurité d'un système d'information d'autant qu'ils sont en constantes évolutions. La plupart du temps vendus sur des marchés noirs de l'internet profond ( deep web ), ils sont un vecteur pour infecter un grand nombre de machines avec une charge malveillante ( payload ). Même si les infections se font dans la grande majorité des cas via des postes utilisateurs, l'infection d'autres équipements n'est pas à proscrire.
Le fonctionnement d'un kit d'exploitation peut être décomposé en quatre étapes distinctes.
1. Contact La victime accède à une page ou un courriel préalablement piégé. Il peut s'agit d'un lieu virtuel tout à fait légitime mais compromis, c'est le cas par exemple des sites dont les régies ont été détournées pour afficher des publicités malveillantes ( malvertising ).
2. Redirection Des tests sont effectués silencieusement sur la machine cible, le serveur malveillant pourra ainsi délivrer au mieux la charge malveillante en fonction des caractéristiques et des vulnérabilités découvertes sur la cible. Certains kits délivrent en fonction des critères additionnels comme par exemple, des horaires, du fournisseur d'accès, de l'origine géographique,...
3. Exploitation Une fois les vulnérabilités identifiées, le serveur malveillant envoie à la cible l'exploit choisi : il peut prendre la forme d'un fichier PDF, Flash, Silverlight ou encore Java. Les kits d'exploitation utilisent parfois des failles inconnues ( 0-day ), mais plus généralement il s'agit de vulnérabilités déjà identifiées.
4. Infection L'exploitation d'une vulnérabilité permet à l'attaquant d'exécuter du code arbitraire ou une charge malveillante sur la victime. Ci-dessous, le type d'opérations qui peuvent être menées:
* vol d'informations bancaires ;
* exécution d'un rançongiciel ;
* codes destructeurs ;
* contrôle à distance ;
* installation d'une porte dérobée ;
* participation à un réseau de machines zombies.
* ...
Cisco Talos frappe une infrastructure d'Angler Exploit Kit
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 0 Réponses
- 79 Vues
-
Dernier message par Rhin0
-
- 1 Réponses
- 59 Vues
-
Dernier message par Malekal_morte