CTI論壇(ctiforum)12月24日消息(記者李文杰):近期,思科Talos安全威脅智能小組與運營(yíng)商結合,打擊了一批黑客,破壞了使用臭名昭著(zhù)的釣魚(yú)工具包AnglerExploitKit的一個(gè)網(wǎng)絡(luò )利益犯罪團伙。
眾所周知,Angler是市場(chǎng)上最大的惡意軟件攻擊包之一,并且高調的與多個(gè)惡意軟件廣告和勒索事件相關(guān)。它的設計旨在繞過(guò)網(wǎng)絡(luò )安全平臺的檢測,攻擊最多數量的存在漏洞的主機。
對此,思科Talos拿出了怎樣的“看家本領(lǐng)”來(lái)阻止它呢?
研究
思科Talos安全小組深入研究了使用臭名昭著(zhù)的釣魚(yú)工具包AnglerExploitKit的犯罪團伙,該犯罪團伙利用惡意軟件攻擊每月盜取高達300萬(wàn)美元的收益。AnglerEK是一款用于網(wǎng)絡(luò )犯罪的釣魚(yú)攻擊工具包,幫助攻擊者感染計算機通過(guò)盜用合法網(wǎng)站或者攻擊者控制的網(wǎng)站的惡意軟件感染用戶(hù)電腦。該工具包常常利用Flash、Java以及其他瀏覽器插件中的漏洞入侵系統。在超過(guò)60%的情況下,攻擊者使用例如CryptoWall或者TeslaCrypt的惡意軟件,綁架用戶(hù)電腦,向用戶(hù)索取贖金后,才恢復其設備或者文件的訪(fǎng)問(wèn)。
所以,思科Talos安全小組也在最近幾個(gè)月中密切分析了AnglerEK,并發(fā)現每天都會(huì )有9萬(wàn)名無(wú)辜的受害者淪為攻擊的目標,此舉為犯罪團伙每年帶來(lái)超過(guò)6,000萬(wàn)美元的收益!
應對
Talos發(fā)現在2015年7月期間使用漏洞利用工具的代理服務(wù)器主要地址歸屬于主機托管服務(wù)供應商LimestoneNetwork公司,Limestone此時(shí)正痛苦地因犯罪團伙進(jìn)行的AnglerEK活動(dòng)而每月承擔10,000美元的損失,其中大部分是涉及信用卡詐騙消費。
于是Talos隨即與Limestone建立了合作關(guān)系,使用后者提供的相關(guān)信息構建出了一張犯罪如何架構基礎設施的圖片。并在分析了Limestone的系統中的工具包操作之后,思科更新了其網(wǎng)絡(luò )產(chǎn)品來(lái)封鎖到Angler的代理服務(wù)器的重定向鏈接,從而有效地保護消費者免受感染影響。
這樣一來(lái),連接到AnglerEK的大約50%惡意活動(dòng)都無(wú)法生效了。針對Angler濫用Limestone基礎設施的行動(dòng)已經(jīng)產(chǎn)生了巨大的效果。在2015年7月份,Limestone為AnglerEK提供了其超過(guò)三分之一的IP地址。盡管占量比例不高,但這種趨勢8月仍在繼續。而現在,這項利用Limestone公司基礎設施的惡意活動(dòng)已經(jīng)停止了。
對此,安全專(zhuān)家GrahamCluley表示:
我們不會(huì )騙自己說(shuō)思科的行為讓AnglerEK置之死地,但是此舉還是重擊了犯罪分子的惡意活動(dòng)。當然,這些有組織的犯罪團體也不會(huì )善罷甘休的,還會(huì )卷土重來(lái)。盡管如此,我們還是欠安全研究者的一聲感謝,正是他們對安全事業(yè)的全力以赴才讓我們享有了一個(gè)相對安全的互聯(lián)網(wǎng)環(huán)境。
說(shuō)了這么多,思科Talos小組究竟是“何許人也”?
思科Talos小組介紹
Talos團隊由業(yè)界領(lǐng)先的網(wǎng)絡(luò )安全專(zhuān)家組成,他們分析評估黑客活動(dòng),入侵企圖,惡意軟件以及漏洞的最新趨勢。包括ClamAV團隊和一些標準的安全工具書(shū)的作者中最知名的安全專(zhuān)家,都是Talos的成員。這個(gè)團隊同時(shí)得到了Snort、ClamAV、Senderbase。org和Spamcop。net社區的龐大資源支持,使得它成為網(wǎng)絡(luò )安全行業(yè)最大的安全研究團隊。也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持。
艾瑞波地(Everybody)看過(guò)來(lái)~思科大禮包發(fā)送啦!
參與微話(huà)題討論,不僅可以得到思科安全大神徐洪濤的在線(xiàn)答疑,還會(huì )強制性塞給你一下大禮包:
- 思科威脅防御解決方案
- 保護數據中心安全的五個(gè)步驟
- 思科智能安全架構:ESG解決方案
- 具備FirePOWER服務(wù)的思科ASA防火墻
- 評估SDN數據中心安全解決方案的業(yè)務(wù)價(jià)值
參與方式
關(guān)注思科中國官方微信“思科聯(lián)天下”(長(cháng)按下方二維碼),回復“S001”即可進(jìn)入微話(huà)題,思科高級安全架構師徐洪濤期待與你的交流!
