Cisco ha anunciado que les han asestado un duro golpe a la infraestructura de Angler interrumpiendo gran parte de sus actuaciones.
El kit de exploits Angler es uno de los más extendidos del mercado,
relacionado en múltiples ocasiones con campañas de publicidad maliciosa y
ransomware. En los últimos tiempos aparecía con frecuencia en alguna noticia,
por la integración de un nuevo 0-day, por su Domain Shadowing o por alguna
campaña de publicidad maliciosa. Dominaba la escena de las acciones maliciosas.
En la lucha constante entre atacantes y defensores, Cisco monitorizaba
y actualizaba de forma continua estos ataques. Talos (@talossecurity), el
equipo de investigadores de Cisco, decidió profundizar en los datos que se
obtenían de Angler y empezó a realizar una serie de descubrimientos
sorprendentes. La batalla había comenzado.
En julio empezaron a recopilar información sobre el exploit de todas
las fuentes posibles. Según describen, en esas fechas Angler pasó por varias
fases de desarrollo. Los atacantes realizaron cambios en la infraestructura de
URLs, así como la inclusión de varias vulnerabilidades 0-day para Adobe Flash.
La recopilación de información incluyó datos como dominios, referers,
exploits, payloads y alojamientos. Y del análisis empezaron a surgir tendencias
y patrones. Fue especialmente en lo referente al alojamiento donde encontraron
la información más relevante. Descubrieron que gran parte de la actividad de
kit empleaba un único proveedor de alojamiento: Limestone Networks. Angler
había bajado la guardia.
Talos colaboró con Limestone para recopilar alguna información
previamente desconocida sobre Angler. También se agradece la continua
colaboración con OpenDNS que permitió ver en profundidad la actividad del
dominio asociado a los atacantes. Como es habitual de este tipo de
colaboraciones surgen resultados satisfactorios. De esta forma se pudo obtener
información sobre el flujo de datos, su gestión y escala.
Descubrieron que realmente Angler está construida sobre una
configuración de proxy/ servidor. Solo hay un servidor exploit que se encarga
de servir toda la actividad maliciosa a través de múltiples servidores proxy.
La comunicación de los usuarios se realiza con el servidor proxy. Esto permite
a los atacantes cambiarlo rápidamente y de esta forma proteger el servidor de
exploits de ser identificado y descubierto.
Además de la estructura proxy/servidor hay un servidor de vigilancia
que realizaba controles de actividad, recopilando información sobre los hosts
que estaban siendo explotados y que borraba de forma remota los archivos de
registro una vez que la información había sido extraída. Este servidor de
vigilancia fue el que permitió obtener información sobre el alcance y la escala
de la campaña, incluso ayudó a valorar económicamente las actividades
maliciosas.
Los investigadores de Cisco solo monitorizaron un servidor de
vigilancia que controlaba la actividad de 147 servidores proxy y unas 90.000
víctimas por día, generando más de dos millones y medio de euros en ingresos en
un mes. Este simple servidor era el responsable de aproximadamente la mitad de
la actividad de Angler observada, consiguiendo más de 26 millones de euros al
año solo en infecciones con ransomware.
Cisco ha
publicado amplia información sobre todos sus descubrimientos y ha tomado
medidas que suponen un fuerte golpe a Angler:
- Cierre del acceso para los usuarios de Cisco mediante la actualización de sus productos para detener el redireccionamiento a los servidores proxy de Anger.
- Publicación de reglas de Snort para detectar y bloquear los controles de los servidores de vigilancia.
- Todas las reglas se han publicado a través de la comunidad Snort.
- Publicación de los mecanismos de comunicaciones incluyendo los protocolos para que otros administradores y fabricantes puedan proteger a usuarios y clientes.
Más información:
Threat Spotlight: Cisco Talos Thwarts Access to
Massive International Exploit Kit Generating $60M Annually From Ransomware
Alone
- http://blogs.cisco.com/security/talos/angler-exposed#more-178466
- http://talosintel.com/angler-exposed/