Подразделение Cisco Talos провело исследование эксплойт-набора Angler, который считается самым изощренным и опасным. Он спроектирован так, чтобы преодолевать системы защиты и поражать огромные количества разнообразных устройств.

Эксплойт-набор Angler часто упоминается в новостях из сферы информационной безопасности, посвященных теневым доменам, уязвимостям нулевого дня и масштабным кампаниям по распространению вредоносной рекламы. В рамках борьбы с киберпреступниками подразделение Cisco Talos провело тщательное исследование телеметрической информации, связанной с Angler. Активный сбор информации начался в июле 2015 г., когда Angler подвергся некоторым усовершенствованиям. Анализ собранной информации позволил выявить ряд закономерностей, касающихся использования хостинга, доменов, referer-заголовков, эксплойтов и рабочих нагрузок вредоносного ПО.

Так, выяснилось, что множество прокси-серверов (серверов-посредников), используемых Angler, расположено на площадках компании Limestone Networks (хостинг-провайдер в штате Техас). Они обеспечивали до половины всей активности Angler, заражая около 90 тыс. жертв в день и ежегодно принося злоумышленникам приблизительно 30 млн долл. только за счет программ-вымогателей. Совокупный же доход, получаемый киберпреступниками в результате всей деятельности Angler, мог превышать 60 млн долл. в год.

Сотрудничество с компанией Limestone позволило специалистам Talos выявить важную информацию о деятельности Angler — например, подробные данные о коммуникациях, управлении и масштабировании этого вредоносного ПО. Выяснилось, что механизм работы эксплойт-набора Angler предусматривает работу через сеть посреднических прокси-серверов. Во главе этой сети находится управляющий сервер, обеспечивающий распространение вредоносной активности через множество серверов-посредников. Конечные пользователи взаимодействуют именно с прокси-серверами, благодаря чему злоумышленники могут быстро менять структуру коммуникаций и тем самым предотвращать обнаружение главного управляющего сервера. Кроме того, в этой системе есть сервер, используемый для наблюдения за работоспособностью всей вредоносной сети. Он собирает данные об узлах, зараженных эксплойтом, а при обнаружении дистанционно удаляет все следы своего присутствия. Изучив работу этого сервера, специалисты Talos смогли оценить масштаб всей кампании и сделать приблизительную оценку финансовых потоков, связанных с этой вредоносной активностью.

Благодаря сотрудничеству с лабораторией Level 3 Threat Research Labs группа Cisco Talos получила дополнительную информацию об этой вредоносной сети, а с помощью компании OpenDNS удалось добиться углубленного понимания доменной активности Angler. После этого в Cisco приняли ряд контрмер:

  • обновление соответствующих продуктов позволило заблокировать доступ заказчиков к прокси-серверам Angler;
  • были выпущены специальные наборы правил для системы Snort, позволившие выявлять и блокировать внутренние коммуникации вредоносной сети;
  • через систему Snort все правила были предоставлены сообществу;
  • чтобы другие вендоры могли защитить себя и своих заказчиков, были опубликованы данные о механизмах взаимодействия и протоколах, используемых Angler.

Кроме того, Cisco опубликовала индикаторы компрометации, позволяющие компаниям анализировать свою сетевую активность и блокировать доступ к оставшимся вредоносным серверам.