研究员瓦解钓鱼攻击工具包系统,成功阻止3000万美元勒索活动

阅读量90212

|

发布时间 : 2015-10-12 16:30:04

x
译文声明

本文是翻译文章,文章来源:默白@360安全播报

原文地址:https://threatpost.com/researchers-disrupt-angler-exploit-kit-ecosystem-derail-30m-ransomware-campaign/114939/

译文仅供参考,具体内容表达以及含义原文为准。

http://p7.qhimg.com/t0180f3a16b5fc1ed4c.jpg

研究人员在消除钓鱼攻击工具包方面取得巨大进展,中断了一个据称每年超过30000000美元的大型勒索活动。

根据今天公布的一份报告,在夏季,思科的塔洛斯安全情报研究组专家对开发工具包做了深入研究,有效的阻止了开发套件的百分之50的钓鱼活动。

在市场上如果不是最复杂的漏洞利用工具包,钓鱼者已被证明是其中一个。在过去的一年里,被发现的恶意软件,如TeslaCrypt, AlphaCrypt, CryptoWall多次迭代,结合最新的Adobe和IE的漏洞,甚至使用新的方法来避免检测和阻断。

根据2015七月的一份钓鱼者调查数据,Talos的研究人员能够推断出很多的钓鱼者使用的位于属于Limestone网络(一个总部设在达拉斯的托管服务)上的服务器。

即使两一起工作把这些服务器脱机,Limestone也能向Talos提供与被用来进行恶意活动的服务器磁盘映像。通过对Limestone所提供的进行研究,研究人员想到了一个更好的主意,这个主意是关于活动范围和活动规模的,即,攻击者如何能够让恶意软件赚钱。

依赖于一个代理服务器的设置,在其中一个漏洞利用服务器进行传达命令,告诉多个代理服务器做什么,使攻击者能够枢纽和改变的恶意软件和阻止攻击者获取。在这种情况下,Talos观察到一个服务器超过30天连接到其他147个代理服务器混淆恶意流量。

Talos所观察到的这个方法,垂钓者最终有百分之40的用户被成功钓鱼。一个月内,整个过程中,每147个服务器成功钓鱼3600个用户,或529000个系统。如果大约百分之三的用户付了赎金,TALOS所监测的这个攻击者一个月可以入手3000000美元,或34000000美元一年。如果Talos 和Limestone没有采取行动,研究人员预测,邪恶的钓鱼者可以赚每年6000万美元。

Dan Hubbard,OpenDNS(最近被思科收购)的CTO,他指出,烟雾和镜向代理/服务器技术仍处于发展阶段,但它可以仍可以有效,直到服务器被拆除。

“我们看到罪犯建立这些复杂的代理网络,正因为这样他们可以进行线性扩展,就像一个CDN或实际的Web服务。不仅可以有这些代理被关闭,却不影响服务,而且它允许其混淆他们的真正的基础设施,”哈伯德在OpenDNS的博客上陈述到,“虽然你可能认为这就是命令和控制服务器,实际上它不是。它只是一个在代理服务器和真正的命令和控制服务器之间的中介。”

根据OpenDNS,其在图表上打破了活动的数量,该活动用15000个独特的网站传播钓鱼,百分之60的被钓鱼者交付金钱,这场钓鱼活动的的受害者要么是受害于CryptoWall 3.0 要么是 TeslaCrypt 2.0。

用户运行旧的,Adobe Flash和Internet Explorer未打补丁的版本是钓鱼者最普遍的攻击目标,尤其是那些经常浏览成人网站和讣闻网站的用户。TALOS认为采用讣闻网站进行钓鱼,是为了针对老年人进行攻击,老年人较为传统,他们可能更倾向于使用IE未打的补丁版本,这使得他们更易于被勒索。

网络钓鱼者,于2013年最早在互联网发现,已经设法在过去的12个月里真正的提升实力。

在三月份,这个工具链开始使用一种称为域名跟踪的技术,在攻击者使用偷来的域名注册证书创建列表的子域,将受害者重定向到攻击地点,或是将服务器作为主机恶意的负载。

开发工具包于3月份添加了CryptoWall 3.0,2015年其多次添加新的Flash漏洞的进行扩充其军火库——其中包括在一月,三月,和七月(Hacking Team遭到攻击内部资料泄漏后)。

Talos 的研究人员于星期二表示:“这对新兴的黑客产业经济——勒索或将偷来的IP,信用卡信息和个人可识别信息(PII)在黑市上出售,来说是一个重大的打击,黑客交易每年大约有数亿美元。”

本文翻译自默白@360安全播报 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
默白
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66