El
Angler Exploit Kit es un exploit kit muy poderoso y avanzado utilizados por los
hackers. Este kit se ha considerado más potente de Blackhole exploit kit por
los expertos de capitaciones seguridad informática y hacking ético, ya que ha
causado mayor número de infecciones.
¿Porqué
Kit Angler exploit kit es muy poderoso y peligroso?
1.
Angler exploit kit utiliza diferentes exploits de día cero para explotar
plugins del navegador como Java, Adobe Flash y Microsoft Silverlight.
2.
Angler utiliza el drive-by download técnica de entregar el malware /
payload dependiendo de la vulnerabilidad en la máquina. También se conoce como infección
sin archivo (inyección de memoria RAM), el exploit se ejecuta en la memoria
RAM. El
código se inyecta en algún proceso en ejecución, tales
como iexplore.exe o javaw.exe, que luego se utiliza para más explotación.
Debido a que el código del exploit no existe como un archivo, no se puede
detectar a través de los sistemas de prevención de intrusos y antivirus. La
carga útil es generalmente un programa que se llama dropper cuyo
propósito es descargar e instalar uno o más programas de malware.
3.
Los payloads utilizados en el kit incluyen troyanos bancarios como Zeus o
Citadel, ransomware como Cryptolocker, Bedep malware de
marketing y software de keylogging.
4.
Angler también utiliza la nueva técnica conocida como "Domain Shadowing",
que es una evolución de la ciber-delincuencia menciono el experto de seguridad
informática de Instituto Internacional de la seguridad cibernética. Los hackers
han usado Domain Shadowing antes también en 2011, pero en caso de Angler
Exploit Kit esta técnica utiliza dominios legales hackeados para crear
subdominios y distribuir malware. Domain Shadowing utiliza credenciales
comprometidos de registrante y es muy difícil de detener. También es muy
difícil de localizar a los delincuentes cibernéticos que están detrás de estos
ataques porque las cuentas comprometidas son seleccionadas al azar. Así bad URL
o una lista negra de URL no funciona aquí para proteger contra el ataque.
5.
Angler Kit cambia hash y payloads mediante el uso de redirecciones de páginas
antes de llegar a la página final de exploit para que los productos de
seguridad no pueden detectarlo. Kit utiliza 302 Cushioning, o un "'cushion
attack", para re direccionar las víctimas a sitios maliciosos sin el
uso de técnicas, como iframes ocultos o tags de códigos externos.
6.
Servidores web comprometidos con página de aterrizaje de explotar kit se pueden
visitar sólo una vez desde una IP y los hackers están monitoreando activamente
los servidores. Así que la ingeniería inversa del malware es difícil de
acuerdo con experto de ingeniería inversa y curso de hacking ético
en México, Mike Stevens.
7.
El kit esta capaz de detectar máquinas virtuales y productos de seguridad en el
sistema de la víctima y decidir no ejecutar el exploit. Así que la empresa de
antivirus no puede hacer la ingeniería inversa del exploit kit.
8.
Angler exploit kit utiliza el cifrado, la página web con ofuscación y
descifrado de la carga útil en el equipo de la víctima entonces es muy difícil
para IDS/IPS detectar eso.
Cómo
funciona Angler Exploit Kit
1. La víctima accede a una página web y recibe un
anuncio tipo pop-up. Este anuncio es la página web de servidor web
comprometido.
2.
Esta página web de servidor web comprometido redirige a un servidor intermedio.
Así que IDS/IPS no puede detectar el malware.
3.
Intermedio servidor redirige a un servidor web de hacker que aloja página de
aterrizaje del Angler Exploit kit.
4.
Angler Expolit kit página comprueba la presencia de vulnerable plug-ins en su
navegador (Java, Flash y Silverlight) y información de la versión. También
comprueba la presencia de la máquina virtual y software de seguridad como el
software de ingeniería inversa de malware.
5.
Si el software de seguridad se encuentra en la máquina de víctima, el exploit
solo da el error java script.
6. Cuando se encuentra un navegador vulnerable o plug-ins sin
software de seguridad, el exploit kit entregará payload cifrado y que se
descifra en la memoria RAM y el código en inyectado en algún proceso en
ejecución, como iexplore.exe o javaw.exe, que se explota para dar un acceso
permanente a la máquina según Jim Taylor de empresa de capacitación de seguridad
informática.
0 comments:
Post a Comment