viernes, 9 de octubre de 2015

Cisco 1 - Angler 0

En una-al-día hemos hablado en más de una ocasión del kit de exploits Angler, sin duda uno de los más avanzados para la realización de ataques. En esta ocasión, las noticias son bastante mejores, Cisco ha anunciado que les han asestado un duro golpe a su infraestructura interrumpiendo gran parte de sus actuaciones.

El kit de exploits Angler es uno de los más extendidos del mercado, relacionado en múltiples ocasiones con campañas de publicidad maliciosa y ransomware. En los últimos tiempos aparecía con frecuencia en alguna noticia, por la integración de un nuevo 0-day, por su Domain Shadowing o por alguna campaña de publicidad maliciosa. Dominaba la escena de las acciones maliciosas.

En la lucha constante entre atacantes y defensores, Cisco monitorizaba y actualizaba de forma continua estos ataques. Talos (@talossecurity), el equipo de investigadores de Cisco, decidió profundizar en los datos que se obtenían de Angler y empezó a realizar una serie de descubrimientos sorprendentes. La batalla había comenzado.

En julio empezaron a recopilar información sobre el exploit de todas las fuentes posibles. Según describen, en esas fechas Angler pasó por varias fases de desarrollo. Los atacantes realizaron cambios en la infraestructura de URLs, así como la inclusión de varias vulnerabilidades 0-day para Adobe Flash.

La recopilación de información incluyó datos como dominios, referers, exploits, payloads y alojamientos. Y del análisis empezaron a surgir tendencias y patrones. Fue especialmente en lo referente al alojamiento donde encontraron la información más relevante. Descubrieron que gran parte de la actividad de kit empleaba un único proveedor de alojamiento: Limestone Networks. Angler había bajado la guardia.

Talos colaboró con Limestone para recopilar alguna información previamente desconocida sobre Angler. También se agradece la continua colaboración con OpenDNS que permitió ver en profundidad la actividad del dominio asociado a los atacantes. Como es habitual de este tipo de colaboraciones surgen resultados satisfactorios. De esta forma se pudo obtener información sobre el flujo de datos, su gestión y escala.

Flujo de datos de Angler. http://talosintel.com/angler-exposed
Descubrieron que realmente Angler está construida sobre una configuración de proxy/ servidor. Solo hay un servidor exploit que se encarga de servir toda la actividad maliciosa a través de múltiples servidores proxy. La comunicación de los usuarios se realiza con el servidor proxy. Esto permite a los atacantes cambiarlo rápidamente y de esta forma proteger el servidor de exploits de ser identificado y descubierto.

Además de la estructura proxy/servidor hay un servidor de vigilancia que realizaba controles de actividad, recopilando información sobre los hosts que estaban siendo explotados y que borraba de forma remota los archivos de registro una vez que la información había sido extraída. Este servidor de vigilancia fue el que permitió obtener información sobre el alcance y la escala de la campaña, incluso ayudó a valorar económicamente las actividades maliciosas.

Los investigadores de Cisco solo monitorizaron un servidor de vigilancia que controlaba la actividad de 147 servidores proxy y unas 90.000 víctimas por día, generando más de dos millones y medio de euros en ingresos en un mes. Este simple servidor era el responsable de aproximadamente la mitad de la actividad de Angler observada, consiguiendo más de 26 millones de euros al año solo en infecciones con ransomware.

https://youtu.be/ll2oP7CbbPE?list=PLFT-9JpKjRTDn_qtGN238gzycJfaVzMqD

Cisco ha publicado amplia información sobre todos sus descubrimientos y ha tomado medidas que suponen un fuerte golpe a Angler:
  • Cierre del acceso para los usuarios de Cisco mediante la actualización de sus productos para detener el redireccionamiento a los servidores proxy de Anger.
       
  • Publicación de reglas de Snort para detectar y bloquear los controles de los servidores de vigilancia.
         
  • Todas las reglas se han publicado a través de la comunidad Snort.
        
  • Publicación de los mecanismos de comunicaciones incluyendo los protocolos para que otros administradores y fabricantes puedan proteger a usuarios y clientes.
         
  • Cisco también ha publicado los IoCs (Indicadores de Compromiso) para que administradores o usuarios puedan analizar su propia actividad en la red y bloquear el acceso a los servidores restantes.
Más información:

Threat Spotlight: Cisco Talos Thwarts Access to Massive International Exploit Kit Generating $60M Annually From Ransomware Alone
http://blogs.cisco.com/security/talos/angler-exposed#more-178466
http://talosintel.com/angler-exposed/

una-al-dia (26/11/2014) Actualización fuera de ciclo para Adobe Flash Player
http://unaaldia.hispasec.com/2014/11/actualizacion-fuera-de-ciclo-para-adobe.html

una-al-dia (22/01/2015) Actualización de Adobe Flash Player para evitar un 0-day
http://unaaldia.hispasec.com/2015/01/actualizacion-de-adobe-flash-player.html

una-al-dia (27/01/2015) Nueva actualización de Adobe Flash Player
http://unaaldia.hispasec.com/2015/01/nueva-actualizacion-de-adobe-flash.html

una-al-dia (06/02/2015) Adobe, más de lo mismo
http://unaaldia.hispasec.com/2015/02/adobe-mas-de-lo-mismo.html

una-al-dia (27/05/2015) Vulnerabilidad en Flash Player explotada dos semanas después del parche
http://unaaldia.hispasec.com/2015/05/vulnerabilidad-en-flash-player.html

                                                                                                  
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017