En
una-al-día hemos hablado en más de una ocasión del kit de exploits Angler, sin
duda uno de los más avanzados para la realización de ataques. En esta ocasión,
las noticias son bastante mejores, Cisco
ha anunciado que les han asestado un duro golpe a su infraestructura
interrumpiendo gran parte de sus actuaciones.
El kit de exploits Angler es uno
de los más extendidos del mercado, relacionado en múltiples ocasiones con
campañas de publicidad maliciosa y ransomware. En los últimos
tiempos aparecía
con frecuencia en
alguna noticia, por la integración de un nuevo
0-day, por su Domain Shadowing o por alguna campaña de publicidad maliciosa.
Dominaba la escena de las acciones
maliciosas.
En julio empezaron a recopilar
información sobre el exploit de todas las fuentes posibles. Según describen, en
esas fechas Angler pasó por varias fases de desarrollo. Los atacantes
realizaron cambios en la infraestructura de URLs, así como la inclusión de
varias vulnerabilidades 0-day para Adobe Flash.
La recopilación de información
incluyó datos como dominios, referers, exploits, payloads y alojamientos. Y del
análisis empezaron a surgir tendencias y patrones. Fue especialmente en lo
referente al alojamiento donde encontraron la información más relevante.
Descubrieron que gran parte de la actividad de kit empleaba un único proveedor
de alojamiento: Limestone Networks. Angler había bajado la guardia.
Talos colaboró con Limestone para
recopilar alguna información previamente desconocida sobre Angler. También se
agradece la continua colaboración con OpenDNS que permitió ver en profundidad
la actividad del dominio asociado a los atacantes. Como es habitual de este
tipo de colaboraciones surgen resultados satisfactorios. De esta forma se pudo
obtener información sobre el flujo de datos, su gestión y escala.
 |
| Flujo de datos de Angler. http://talosintel.com/angler-exposed |
Además de la estructura
proxy/servidor hay un servidor de vigilancia que realizaba controles de
actividad, recopilando información sobre los hosts que estaban siendo
explotados y que borraba de forma remota los archivos de registro una vez que
la información había sido extraída. Este servidor de vigilancia fue el que
permitió obtener información sobre el alcance y la escala de la campaña,
incluso ayudó a valorar económicamente las actividades maliciosas.
Los investigadores de Cisco solo
monitorizaron un servidor de vigilancia que controlaba la actividad de 147
servidores proxy y unas 90.000 víctimas por día, generando más de dos millones
y medio de euros en ingresos en un mes. Este simple servidor era el
responsable de aproximadamente la mitad de la actividad de Angler observada,
consiguiendo más de 26 millones de euros al año solo en infecciones con ransomware.
Cisco ha publicado amplia información sobre todos sus
descubrimientos y ha tomado medidas que suponen un fuerte golpe a Angler:
- Cierre del acceso para los usuarios de Cisco mediante la actualización de sus productos para detener el redireccionamiento a los servidores proxy de Anger.
- Publicación de reglas de Snort para detectar y bloquear los controles de los servidores de vigilancia.
- Todas las reglas se han publicado a través de la comunidad Snort.
- Publicación de los mecanismos de comunicaciones incluyendo los protocolos para que otros administradores y fabricantes puedan proteger a usuarios y clientes.
- Cisco también ha publicado los IoCs (Indicadores de Compromiso) para que administradores o usuarios puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.
Threat Spotlight: Cisco Talos Thwarts Access to
Massive International Exploit Kit Generating $60M Annually From Ransomware
Alone
una-al-dia (26/11/2014)
Actualización fuera de ciclo para Adobe Flash Player
una-al-dia (22/01/2015)
Actualización de Adobe Flash Player para evitar un 0-day
una-al-dia (27/01/2015) Nueva
actualización de Adobe Flash Player
una-al-dia (06/02/2015) Adobe,
más de lo mismo
una-al-dia (27/05/2015)
Vulnerabilidad en Flash Player explotada dos semanas después del parche
Antonio Ropero
Twitter: @aropero
