CTI論壇(ctiforum)12月24日消息(記者李文杰):近期,思科Talos安全威脅智能小組與運(yùn)營商結(jié)合,打擊了一批黑客,破壞了使用臭名昭著的釣魚工具包AnglerExploitKit的一個網(wǎng)絡(luò)利益犯罪團(tuán)伙。
眾所周知,Angler是市場上最大的惡意軟件攻擊包之一,并且高調(diào)的與多個惡意軟件廣告和勒索事件相關(guān)。它的設(shè)計(jì)旨在繞過網(wǎng)絡(luò)安全平臺的檢測,攻擊最多數(shù)量的存在漏洞的主機(jī)。
對此,思科Talos拿出了怎樣的“看家本領(lǐng)”來阻止它呢?
研究
思科Talos安全小組深入研究了使用臭名昭著的釣魚工具包AnglerExploitKit的犯罪團(tuán)伙,該犯罪團(tuán)伙利用惡意軟件攻擊每月盜取高達(dá)300萬美元的收益。AnglerEK是一款用于網(wǎng)絡(luò)犯罪的釣魚攻擊工具包,幫助攻擊者感染計(jì)算機(jī)通過盜用合法網(wǎng)站或者攻擊者控制的網(wǎng)站的惡意軟件感染用戶電腦。該工具包常常利用Flash、Java以及其他瀏覽器插件中的漏洞入侵系統(tǒng)。在超過60%的情況下,攻擊者使用例如CryptoWall或者TeslaCrypt的惡意軟件,綁架用戶電腦,向用戶索取贖金后,才恢復(fù)其設(shè)備或者文件的訪問。
所以,思科Talos安全小組也在最近幾個月中密切分析了AnglerEK,并發(fā)現(xiàn)每天都會有9萬名無辜的受害者淪為攻擊的目標(biāo),此舉為犯罪團(tuán)伙每年帶來超過6,000萬美元的收益!
應(yīng)對
Talos發(fā)現(xiàn)在2015年7月期間使用漏洞利用工具的代理服務(wù)器主要地址歸屬于主機(jī)托管服務(wù)供應(yīng)商LimestoneNetwork公司,Limestone此時(shí)正痛苦地因犯罪團(tuán)伙進(jìn)行的AnglerEK活動而每月承擔(dān)10,000美元的損失,其中大部分是涉及信用卡詐騙消費(fèi)。
于是Talos隨即與Limestone建立了合作關(guān)系,使用后者提供的相關(guān)信息構(gòu)建出了一張犯罪如何架構(gòu)基礎(chǔ)設(shè)施的圖片。并在分析了Limestone的系統(tǒng)中的工具包操作之后,思科更新了其網(wǎng)絡(luò)產(chǎn)品來封鎖到Angler的代理服務(wù)器的重定向鏈接,從而有效地保護(hù)消費(fèi)者免受感染影響。
這樣一來,連接到AnglerEK的大約50%惡意活動都無法生效了。針對Angler濫用Limestone基礎(chǔ)設(shè)施的行動已經(jīng)產(chǎn)生了巨大的效果。在2015年7月份,Limestone為AnglerEK提供了其超過三分之一的IP地址。盡管占量比例不高,但這種趨勢8月仍在繼續(xù)。而現(xiàn)在,這項(xiàng)利用Limestone公司基礎(chǔ)設(shè)施的惡意活動已經(jīng)停止了。
對此,安全專家GrahamCluley表示:
我們不會騙自己說思科的行為讓AnglerEK置之死地,但是此舉還是重?fù)袅朔缸锓肿拥膼阂饣顒印.?dāng)然,這些有組織的犯罪團(tuán)體也不會善罷甘休的,還會卷土重來。盡管如此,我們還是欠安全研究者的一聲感謝,正是他們對安全事業(yè)的全力以赴才讓我們享有了一個相對安全的互聯(lián)網(wǎng)環(huán)境。
說了這么多,思科Talos小組究竟是“何許人也”?
思科Talos小組介紹
Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書的作者中最知名的安全專家,都是Talos的成員。這個團(tuán)隊(duì)同時(shí)得到了Snort、ClamAV、Senderbase。org和Spamcop。net社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持。
艾瑞波地(Everybody)看過來~思科大禮包發(fā)送啦!
參與微話題討論,不僅可以得到思科安全大神徐洪濤的在線答疑,還會強(qiáng)制性塞給你一下大禮包:
- 思科威脅防御解決方案
- 保護(hù)數(shù)據(jù)中心安全的五個步驟
- 思科智能安全架構(gòu):ESG解決方案
- 具備FirePOWER服務(wù)的思科ASA防火墻
- 評估SDN數(shù)據(jù)中心安全解決方案的業(yè)務(wù)價(jià)值
參與方式
關(guān)注思科中國官方微信“思科聯(lián)天下”(長按下方二維碼),回復(fù)“S001”即可進(jìn)入微話題,思科高級安全架構(gòu)師徐洪濤期待與你的交流!
