En la lucha constante entre atacantes y defensores, Cisco monitorizaba y actualizaba de forma continua estos ataques. Talos (@talossecurity), el equipo de investigadores de Cisco, decidió profundizar en los datos que se obtenían de Angler y empezó a realizar una serie de descubrimientos sorprendentes. La batalla había comenzado.
![]() |
Flujo de datos de Angler. http://talosintel.com/angler-exposed |
Descubrieron que realmente Angler está construida sobre una configuración de proxy/ servidor. Solo hay un servidor exploit que se encarga de servir toda la actividad maliciosa a través de múltiples servidores proxy. La comunicación de los usuarios se realiza con el servidor proxy. Esto permite a los atacantes cambiarlo rápidamente y de esta forma proteger el servidor de exploits de ser identificado y descubierto.
-
Cierre del acceso para los usuarios de Cisco mediante la actualización de sus productos para detener el redireccionamiento a los servidores proxy de Anger.
-
Publicación de reglas de Snort para detectar y bloquear los controles de los servidores de vigilancia.
-
Todas las reglas se han publicado a través de la comunidad Snort.
-
Publicación de los mecanismos de comunicaciones incluyendo los protocolos para que otros administradores y fabricantes puedan proteger a usuarios y clientes.
- Cisco también ha publicado los IoCs (Indicadores de Compromiso) para que administradores o usuarios puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.
Más información:
Deja una respuesta