数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究网络安全中的Angler漏洞利用工具包是什么?
Angler 是网络攻击中最知名的漏洞利用工具包之一,于 2013 年被发现。由于其独特的特性,Angler 在其短暂的生命周期中获得了巨大的发展势头。它传播了勒索软件,参与了恶意广告,甚至参与了黑客行动。
根据 2015 年 Trustwave 全球安全报告,Angler 是 2014 年使用频率第二高的漏洞利用工具包。它导致了 17% 的感染,而使用频率最高的漏洞利用工具包 Nuclear 导致了 23% 的感染。
Angler 的登录页面被分成不同的部分。
有一些明显的英文内容旨在欺骗漏洞利用工具包的受害者,让他们相信他们已经到达了一个真实的页面。
其次,它包含许多混淆技术,这些技术对恶意程序本身进行去混淆。这些脚本以 base64 编码,位于 p 类标签内。通过解码 base64 字符串,可以揭示真正的混淆漏洞利用工具包代码。
最后,登录页面包含许多加密的字符串,以及与工具包中包含的漏洞(Flash、Silverlight、Internet Explorer)相关的各种 URL。
Angler 最主要的特征是使用加密的 URL 路由。它使用基于简单转置的加密(通俗地说:字母的置换)来加密和解密数据。漏洞利用工具包的混淆部分包含解密函数。
Angler 还利用 ActiveX XLMDOM 漏洞 (CVE-2013-7331) 对计算机进行指纹识别。这种方法用于识别虚拟机、沙箱和安全技术,这些技术表明存在安全研究人员而不是合法的最终用户。
Angler 还使用了 Diffie-Hellman 加密密钥交换,使每次攻击对特定受害者都是唯一的,并防止数据包捕获重放尝试。
由于上述原因,Angler 是技术上最难处理的漏洞利用工具包之一。Angler 开发人员展示了非凡的能力,能够在相关软件制造商解决这些漏洞后的几天甚至几小时内,将最新的已修补漏洞整合到其中。
Angler 漏洞利用工具包的功能
让我们看看为什么 Angler 漏洞利用工具包在网络罪犯中如此受欢迎 -
易于使用
对于缺乏技术知识的攻击者来说,它易于使用。攻击者(并非 IT 或安全专家)可以在网上购买该漏洞利用工具包。他们无需了解如何创建该工具包,并且如果使用该工具包,他们仍然可以从中获利。
例如,Angler 有时会提供一个用户友好的 UI。这使攻击者能够跟踪恶意软件活动的进展,并调整参数以获得更好的结果。
可供购买
它可在网络犯罪圈内购买。网络犯罪即服务并非什么新鲜事。Angler 漏洞利用工具包在网络犯罪圈内以合理的价格出售。根据 Sophos 的说法,甚至可能存在“按安装付费”的商业模式,其中 Angler 开发人员仅向攻击者收取成功感染恶意软件的费用。
可编程和可定制
Angler 可被编程以执行各种任务。Angler 是一种用途广泛的漏洞利用工具包。网络罪犯可以将该工具包编程为执行以下操作 -
安装恶意软件(金融类 - Tinba、Vawtrak;勒索软件 - CryptoWall、Teslacrypt、Torrentlocker)或
收集敏感数据(用户名、密码、信用卡号码等)并将其上传到其服务器,或
将受感染的系统连接到僵尸网络(用于发起更多攻击的“僵尸大军”)
针对过时的软件
Angler 针对过时软件的漏洞。Angler 在客户计算机上安装恶意软件的成功很大程度上归功于此功能。
试图避免检测
在感染的每个阶段,它都试图避免检测。Angler 的发展壮大很大程度上依赖于创新。其开发人员似乎非常重视这一点,因为他们不断改变策略以避免被安全软件(尤其是反病毒软件)检测到。
高转化率
Angler 以强大的恶意软件感染载体而闻名。虽然没有确凿的数据来支持这一点,但据说 Angler 的“转化”率很高。这可能是 Angler 受欢迎的原因,也是许多攻击者在攻击中使用它的原因。
通过逼真的登陆页面传送
漏洞是通过看似合理且构建良好的登陆页面传送的。恶意软件活动能够接触到尽可能多的受害者的另一个重要因素是其有效性。如果受害者到达的网页看起来合法,则用户更有可能浏览和点击其中的内容。因此,攻击者将目标定为创建尽可能逼真的伪造网站。在所有糟糕的网站设计中,融入其中甚至并不难。
使用被盗凭据
为了进一步传播,Angler 利用从数据泄露中获得的被盗凭据。在众多登上新闻头条的数据泄露事件之后,数百万个被盗密码出现在暗网上。这些密码也在出售。
例如,如果您的电子邮件地址在最近的数据泄露事件中被泄露,那么它很可能在黑网上出售,连同您的帐户、密码,甚至信用卡信息。基于这些线索,网络罪犯可能会获得更多信息。
网络罪犯如何传播 Angler?
那么,网络罪犯如何传播 Angler,以便像您我这样的人可能被感染呢?为了接触到尽可能多的 PC,攻击者采用了三种主要策略 -
恶意广告
当网络罪犯使用互联网广告传播恶意软件时,这被称为恶意广告。他们入侵内容分发网络,这些网络负责在网站上投放在线广告。执行此操作的服务器通常非常不安全,这使得攻击者很容易获得访问权限。
iFrames
这是一种将来自另一个网站的内容嵌入到您当前正在查看的网站中的方法。因此,当阅读《纽约时报》的一篇文章时,该页面可能包含来自另一个网站的恶意内容。这种形式的恶意内容还将引导读者进入 Angler 漏洞利用工具包页面,从而启动感染。
代码注入
攻击者将恶意代码注入各种网站。此代码还将引导访问者访问为传播 Angler 和由此产生的恶意软件感染而创建的网站。
1K+ 次浏览
