Σάββατο, 16 Δεκέμβριος 2017, 3:25 πμ

Με εξελιγμένες τεχνικές το Νο1 exploit kit Angler

angler exploit kit

Το διαβόητο Angler Exploit Kit είναι ένα από τα πλέον εξελιγμένα και παντοδύναμα exploit kit που κυκλοφορούν στο «Σκοτεινό Διαδίκτυο», αφήνοντας πίσω του το BlackHole. Στο Angler μπορεί κάποιος να βρει αρκετά zero-days αλλά και πολλές καινούργιες τεχνικές παραβίασης υπολογιστικών συστημάτων.

Η νεότερη τεχνική του Angler Exploit Kit είναι το «Domain Shadowing», που θεωρείται ένα βήμα μπροστά στην εξέλιξη του ψηφιακού εγκλήματος. Το Domain Shadowing εμφανίστηκε για πρώτη φορά το 2011 και περιγράφει τη διαδικασία όπου δημιουργούνται sub-domains με βάση τα credentials που χρησιμοποιούν οι χρήστες του Διαδικτύου για να κατοχυρώσουν domain.

Τι είναι το Domain Shadowing;

Με τη βοήθεια της τεχνικής Domain Shadowing, που είναι διαθέσιμη στο Angler, οι επιτιθέμενοι υποκλέπτουν credentials καταχωρητών domain και δημιουργούν δεκάδες χιλιάδες sub-domains. Μέσω αυτών, πραγματοποιούν επιθέσεις hit-and-run ώστε είτε να ανακατευθύνουν τα θύματα στις κακόβουλες ιστοσελίδες που έχουν δημιουργήσει ή να μεταφέρουν στους υπολογιστές των χρηστών κακόβουλο λογισμικό μέσω αυτών.

Ο ερευνητής της Cisco Nick Biasini διαπίστωσε έξαρση της χρήσης του Angler Exploit Kit τους τελευταίους τρεις μήνες. Μάλιστα, οι κυριότερες ευπάθειες που εκμεταλλεύτηκαν οι επιτιθέμενοι ήταν αυτές του Adobe Flash και του Microsoft Silverlight.

Η τεχνική του Domain Shadowing, λέει ο Biasini, θεωρείται από τις πλέον αποτελεσματικές και είναι αρκετά δύσκολο να σταματήσει. Οι λογαριασμοί σε μεγάλο βαθμό είναι τυχαίοι, ώστε δεν υπάρχει τρόπος να προβλέψει κάποιος ποιοι θα είναι οι επόμενοι που θα χρησιμοποιηθούν.

Όσο για τα sub-domains, ο ερευνητής δήλωσε ότι ο όγκος τους είναι τεράστιος, συνήθως δεν παραμένουν ενεργά για μεγάλο χρονικό διάστημα, είναι τυχαία και δεν ακολουθούν κάποιο πρότυπο. Σημείωσε δε ότι είναι εξαιρετικά δύσκολο ακόμα και να πάρει κάποιος δείγμα από μια αρχική σελίδα που δημιουργείται μέσω του exploit kit, καθώς αυτή παραμένει ενεργή για λιγότερο από μία ώρα.

Πως τα κατάφεραν οι hackers;

Στην επιτυχία της πρόσφατης εκστρατείας επιθέσεων που εξαπέλυσαν οι κυβερνοεγκληματίες, καθοριστικό ρόλο έπαιξε το γεγονός ότι πολλοί από τους ιδιοκτήτες των domain δεν ελέγχουν τακτικά τους λογαριασμούς κατοχύρωσης domain που κατέχουν. Έτσι, είναι εύκολο για τους hackers να δημιουργήσουν χιλιάδες sub-domain για μελλοντικές χρήσεις.

Επίσης, η νέα τεχνική Fast Flux επιτρέπει στους hackers να αλλάξουν την IP που συνδέεται με ένα domain για να αποφύγουν τον εντοπισμό τους αλλά και την ένταξή τους σε blacklists. Η βασική ιδέα πίσω από το Fast Flux είναι η ύπαρξη πολυάριθμων IP διευθύνσεων που σχετίζονται με ένα μοναδικό και έγκυρο domain name, όπου οι IP διευθύνσεις αλλάζουν με απίστευτα μεγάλη συχνότητα, μέσω της αλλαγής των DNS records.

Κινδυνεύουν λογαριασμοί στο GoDaddy;

Η εταιρεία Cisco εντόπισε τουλάχιστον 10.000 ύποπτα sub-domains σε λογαριασμούς, τα πιο πολλά από τα οποία συνδέονται με πελάτες της GoDaddy. Βέβαια, δεν υπάρχουν σαφείς ενδείξεις ότι υπήρξε διαρροή δεδομένων και πιθανότητα η διαπίστωση αυτή προέκυψε λόγω του ότι η GoDaddy ελέγχει σχεδόν το ένα τρίτο των domain στο Διαδίκτυο.

Πως γίνεται η επίθεση;

Η επίθεση σε βάρος των χρηστών διακρίνεται σε μικρότερα τμήματα:

  • Αρχικά, οι χρήστες βλέπουν στον περιηγητή τους κακόβουλες διαφημίσεις.
  • Η πρώτη επίθεση λαμβάνει χώρα μόλις ο χρήστης κάνει κλικ σε κάποια διαφήμιση και ανακατευθυνθεί στον ιστότοπο – «πύλη».
  • Μέσω της «πύλης» τα θύματα ανακατευθύνονται σε σελίδες όπου φιλοξενείται το Angler Exploit Kit και έτσι οι χρήστες «δέχονται την επίσκεψη» από τα exploit που αναφέρθηκαν και νωρίτερα, αυτό του Adobe Flash και αυτό του Microsoft Silverlight.
  • Η τελική ιστοσελίδα, στην οποία καταλήγει ο χρήστης, τροποποιείται ταχύτατα. Οι ιστοσελίδες αυτές παραμένουν ενεργές μόνο για ελάχιστα λεπτά της ώρας.
Το διαβόητο Angler Exploit Kit είναι ένα από τα πλέον εξελιγμένα και παντοδύναμα exploit kit που κυκλοφορούν στο «Σκοτεινό Διαδίκτυο», αφήνοντας πίσω του το BlackHole. Στο Angler μπορεί κάποιος να βρει αρκετά zero-days αλλά και πολλές καινούργιες τεχνικές παραβίασης υπολογιστικών συστημάτων. Η νεότερη τεχνική του Angler Exploit Kit είναι το…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.8 ( 3 votes)
100

Δείτε επίσης:

Ορισμένες ιστοσελίδες που τρέχουν την πλατφόρμα ηλεκτρονικού εμπορίου Magento φαίνεται να έχουν μολυνθεί από κώδικα που ανακατευθύνει τα θύματα στο Neutrino exploit kit.

Διαμοιρασμός του Neutrino exploit kit μέσω ιστοσελίδων Magento

Ορισμένες  ιστοσελίδες που τρέχουν την πλατφόρμα ηλεκτρονικού εμπορίου Magento φαίνεται να έχουν μολυνθεί από κώδικα …