CTI論壇(ctiforum)12月24日消息(記者李文杰):近期,思科Talos安全威脅智能小組與運(yùn)營(yíng)商結(jié)合,打擊了一批黑客,破壞了使用臭名昭著的釣魚(yú)工具包AnglerExploitKit的一個(gè)網(wǎng)絡(luò)利益犯罪團(tuán)伙。
眾所周知,Angler是市場(chǎng)上最大的惡意軟件攻擊包之一,并且高調(diào)的與多個(gè)惡意軟件廣告和勒索事件相關(guān)。它的設(shè)計(jì)旨在繞過(guò)網(wǎng)絡(luò)安全平臺(tái)的檢測(cè),攻擊最多數(shù)量的存在漏洞的主機(jī)。
對(duì)此,思科Talos拿出了怎樣的“看家本領(lǐng)”來(lái)阻止它呢?
研究
思科Talos安全小組深入研究了使用臭名昭著的釣魚(yú)工具包AnglerExploitKit的犯罪團(tuán)伙,該犯罪團(tuán)伙利用惡意軟件攻擊每月盜取高達(dá)300萬(wàn)美元的收益。AnglerEK是一款用于網(wǎng)絡(luò)犯罪的釣魚(yú)攻擊工具包,幫助攻擊者感染計(jì)算機(jī)通過(guò)盜用合法網(wǎng)站或者攻擊者控制的網(wǎng)站的惡意軟件感染用戶(hù)電腦。該工具包常常利用Flash、Java以及其他瀏覽器插件中的漏洞入侵系統(tǒng)。在超過(guò)60%的情況下,攻擊者使用例如CryptoWall或者TeslaCrypt的惡意軟件,綁架用戶(hù)電腦,向用戶(hù)索取贖金后,才恢復(fù)其設(shè)備或者文件的訪問(wèn)。
所以,思科Talos安全小組也在最近幾個(gè)月中密切分析了AnglerEK,并發(fā)現(xiàn)每天都會(huì)有9萬(wàn)名無(wú)辜的受害者淪為攻擊的目標(biāo),此舉為犯罪團(tuán)伙每年帶來(lái)超過(guò)6,000萬(wàn)美元的收益!
應(yīng)對(duì)
Talos發(fā)現(xiàn)在2015年7月期間使用漏洞利用工具的代理服務(wù)器主要地址歸屬于主機(jī)托管服務(wù)供應(yīng)商LimestoneNetwork公司,Limestone此時(shí)正痛苦地因犯罪團(tuán)伙進(jìn)行的AnglerEK活動(dòng)而每月承擔(dān)10,000美元的損失,其中大部分是涉及信用卡詐騙消費(fèi)。
于是Talos隨即與Limestone建立了合作關(guān)系,使用后者提供的相關(guān)信息構(gòu)建出了一張犯罪如何架構(gòu)基礎(chǔ)設(shè)施的圖片。并在分析了Limestone的系統(tǒng)中的工具包操作之后,思科更新了其網(wǎng)絡(luò)產(chǎn)品來(lái)封鎖到Angler的代理服務(wù)器的重定向鏈接,從而有效地保護(hù)消費(fèi)者免受感染影響。
這樣一來(lái),連接到AnglerEK的大約50%惡意活動(dòng)都無(wú)法生效了。針對(duì)Angler濫用Limestone基礎(chǔ)設(shè)施的行動(dòng)已經(jīng)產(chǎn)生了巨大的效果。在2015年7月份,Limestone為AnglerEK提供了其超過(guò)三分之一的IP地址。盡管占量比例不高,但這種趨勢(shì)8月仍在繼續(xù)。而現(xiàn)在,這項(xiàng)利用Limestone公司基礎(chǔ)設(shè)施的惡意活動(dòng)已經(jīng)停止了。
對(duì)此,安全專(zhuān)家GrahamCluley表示:
我們不會(huì)騙自己說(shuō)思科的行為讓AnglerEK置之死地,但是此舉還是重?fù)袅朔缸锓肿拥膼阂饣顒?dòng)。當(dāng)然,這些有組織的犯罪團(tuán)體也不會(huì)善罷甘休的,還會(huì)卷土重來(lái)。盡管如此,我們還是欠安全研究者的一聲感謝,正是他們對(duì)安全事業(yè)的全力以赴才讓我們享有了一個(gè)相對(duì)安全的互聯(lián)網(wǎng)環(huán)境。
說(shuō)了這么多,思科Talos小組究竟是“何許人也”?
思科Talos小組介紹
Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專(zhuān)家組成,他們分析評(píng)估黑客活動(dòng),入侵企圖,惡意軟件以及漏洞的最新趨勢(shì)。包括ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書(shū)的作者中最知名的安全專(zhuān)家,都是Talos的成員。這個(gè)團(tuán)隊(duì)同時(shí)得到了Snort、ClamAV、Senderbase。org和Spamcop。net社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持。
艾瑞波地(Everybody)看過(guò)來(lái)~思科大禮包發(fā)送啦!
參與微話題討論,不僅可以得到思科安全大神徐洪濤的在線答疑,還會(huì)強(qiáng)制性塞給你一下大禮包:
- 思科威脅防御解決方案
- 保護(hù)數(shù)據(jù)中心安全的五個(gè)步驟
- 思科智能安全架構(gòu):ESG解決方案
- 具備FirePOWER服務(wù)的思科ASA防火墻
- 評(píng)估SDN數(shù)據(jù)中心安全解決方案的業(yè)務(wù)價(jià)值
參與方式
關(guān)注思科中國(guó)官方微信“思科聯(lián)天下”(長(zhǎng)按下方二維碼),回復(fù)“S001”即可進(jìn)入微話題,思科高級(jí)安全架構(gòu)師徐洪濤期待與你的交流!
