思科(Cisco)搅了攻击者三千万美金的“生意”

思科(Cisco)搅了攻击者三千万美金的“生意”

现在的互联网似乎稍微安全了点,而我们应该为此感恩。

Cisco:每日9万人沦为Angler EK的攻击目标

安全研究者深入研究了使用臭名昭著的钓鱼工具包Angler Exploit Kit的犯罪团伙,他们利用恶意软件攻击每月盗取高达300万美元的收益。

Angler EK是一款用于网络犯罪的钓鱼攻击工具包,帮助攻击者感染计算机通过盗用合法网站或者攻击者控制的网站的恶意软件感染用户电脑。该工具包常常利用Flash、Java以及其他浏览器插件中的漏洞入侵系统。

在超过60%的情况下,攻击者使用例如CryptoWall或者TeslaCrypt的恶意软件,绑架用户电脑,向用户索取赎金才恢复其设备或者文件的访问。

Cisco公司的Talos安全情报与研究小组在最近几个月中密切分析了Angler EK,偶然发现每天都会有9万名无辜的受害者沦为攻击的目标,而此举为犯罪团伙每年带来超过3000万美元的收益。

思科(Cisco)搅了攻击者三千万美金的“生意”

安全研究者的反击

研究者的探索不仅限于此,他们发现2015年7月期间使用漏洞利用工具的代理服务器主要地址归属于位于达拉斯的 主机托管服务供应商Limestone Network公司以及巴伐利亚公司Hetzner。Angler使用过的具体IP地址如下所示:

思科(Cisco)搅了攻击者三千万美金的“生意”

Talos表示他们与Limestone和Hetzner联系之后,收到了反馈并与Limestone建立了合作关系,使用后者提供的相关信息构建出一张犯罪如何架构基础设施的图片。

了解到Limestone正痛苦地因犯罪团伙进行的Angler EK活动每个月承担10000美元的损失,其中大部分是涉及信用卡诈骗消费。

在分析了Limestone的系统中的工具包操作之后,Cisco更新了其网络产品来封锁到Angler的代理服务器的重定向链接,从而有效地保护消费者免受感染影响。

这样一来,连接到Angler EK的大约50%恶意活动都无法生效了。

针对Angler滥用Limestone基础设施的行动已经产生了戏剧性的结果。

例如,在2015年7月份,Limestone为Angler EK提供了其超过三分之一的IP地址。尽管占量比例不高,但这种趋势8月仍在继续。而现在,这项利用Limestone公司基础设施的恶意活动已经停止了。

“在Talos的帮助之下,作为恶意活动来源的Angler停止了他们的活动,不仅替Limestone公司省下了一大笔钱,还消除了一个钓鱼者可以利用的渠道。Limestone公司为我们提供的图像副本显示了使用过的服务器以及短期内进行攻击的通信服务器网络截图。”

思科(Cisco)搅了攻击者三千万美金的“生意”

安全不安全:一场永不停歇战役

安全专家Graham Cluley表示: 

“我们不会骗自己说Cisco的行为让Angler EK置之死地,但是此举还是重击了犯罪分子的恶意活动。当然,这些有组织的犯罪团体也不会善罢甘休的,还会卷土重来。”

我们可以肯定攻击者还会再回来的,寻找替代机制以及Web托管服务器来协助他们侵染不知情的网络用户计算机。

尽管如此,我们还是欠安全研究者一声感谢,正是他们对安全事业的全力以赴才让我们享有了一个相对安全的互联网环境。

想要了解更多信息,请阅读来自Cisco的Talos安全研究人员的报告全文

*参考来源:TripwireBBC,编译/空白,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论