Angler exploit kit

security Security

Angler Exploit Kit существует с 2013 года. Angler хорошо известен в хакерской среде, так как является одним из наиболее агрессивных и эффективных механизмов проникновения на машину жертвы. Он ищет любые бреши и использует для атак HTML, JavaScript, Flash, Silverlight, Java и пр., при этом стараясь избегать обнаружения антивирусным ПО.

Angler Exploit Kit

Angler – довольно эффективный инструмент, т.к. он поражает порядка 40% столкнувшихся с ним пользователей. В основном Angler использует давно известные баги в браузерах и плагинах к ним (Adobe Flash Player, Java и др.), но порой обновляется, и его арсенал пополняется 0day-уязвимостями.

Angler пытается обойти обнаружение на каждом уровне. Чтобы обойти репутационную фильтрацию, он быстро меняет имена хостов и IP-номера, а также использует теневое копирование доменов, чтобы использовать легитимные домены. Чтобы обойти обнаружение содержимого, компоненты, задействованные в Angler, динамически генерируются для каждой потенциальной жертвы с использованием различных методов кодирования и шифрования. Наконец, Angler использует обфускацию и уловки, препятствующие сбору и анализу образцов.

Indicators of Compromise

IPv4

  • 46.30.46.38
  • 50.62.123.1
  • 62.221.204.114
  • 69.162.116.123
  • 69.162.116.125
  • 69.162.64.156
  • 69.162.64.158
  • 69.162.86.36
  • 69.162.90.107
  • 75.103.83.9

SHA256

  • 003156c92d99aa8bca0f7bc443a03f32a8ce5e26e940f6681747abbc44e1409c
  • 56f61bd84f6851dcd749c95ebcbc94b7814bedb12ae72db776e3c27d4be43ef8
  • 6e2d96990f92864c81277ed3291d79c27e0c326df43eccb050058cc3b1705ade
  • ca0cd15e28620dcb1b2fb5d29fb6daaa88346d8775139607bd9d2f583415e7b8

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Angler Exploit Kit.

ID Техника CWE Описание Доверие
1 T1006 CWE-22 Обход имени пути Высокий
2 T1055 CWE-74 Инъекция Высокий
3 T1059 CWE-94 Межсайтовый скриптинг Высокий
SEC-1275-1
Добавить комментарий