El kit de exploit Angler se ha convertido durante el año 2014 en una de las herramientas favoritas de hackers y mafias de ciber criminales reemplazando rápidamente a Blacole (el autor del cual fue arrestado). En esta nueva serie de cyberseguridad.net vamos a profundizar en los diferentes aspectos de los kits de exploits. Empezamos con Angler.
Angler es posiblemente el kit de exploits más utilizado actualmente, según estadísticas de McAfee Labs representa un 26% de los exploit kits detectados en 2014. Durante el pasado año como comentábamos se ha incrementado enormemente su uso debido a las nuevas características que se le van añadiendo como la infección sin archivos o la detección de máquinas virtuales o productos de seguridad en la víctima. Esto ha convertido a Angler (con sus diferentes variantes) en el kit de exploit favorito a nivel mundial.
Características de Angler
- Usa una doble redirección de la víctima antes de llevarla al servidor donde realmente se encuentra Angler
- Este servidor final solo se puede visitar 1 sola vez desde una misma IP y los atacantes controlan proactivamente estos servidores
- Puede detectar si la víctima está ejecutando una máquina virtual o un software antivirus
- Ejecuta llamadas sin sentido e inutiles para dificultar su estudio
- Cifra todas las descargas y las descifra directamente en la víctima
- Utiliza la infección sin archivo, cargando directamente en memoria en caso que sea necesario
Obtención
La víctima, tras haber clickado en un link malicioso o haberse descargado un fichero infectado pasa a visitar el primer servidor infectado, de este se redirige a un servidor intermedio que a su vez envía a la víctima al servidor que está realmente hosteando a Angler.
Análisis y comprobación de defensas
En este momento este servidor pasa a analizar a la víctima, trata de detectar complementos en el navegador (Flash, Silverlight, Java o ShockWave Flash), las versiones de las mismas y el sistema operativo de la víctima. Como decíamos otra de las principales características de Angler es su capacidad para detectar defensas en la víctima.
Angler busca a través del protocolo RES:// o del método de control de Microsoft XMLDOM ActiveX la presencia en la víctima de ciertos ficheros característicos de máquinas virtuales (Parallels, VMware o VirtualBox VM) o de antivirus (Kaspersky o Trend Micro)
Una vez ha finalizado la comprobación y dependiendo de la vulnerabilidad de la víctima Angler puede tomar la decisión de descartar a la víctima. En caso de que determine que la víctima es adecuada pasa al siguiente paso
Distribución
Si la víctima es adecuada para Angler dependiendo de las vulnerabilidades que presente, es redirigida a una página determinada dentro del servidor con código ofuscado especialmente diseñado para utilizar únicamente los exploits útiles en ese caso.
Dependiendo del nivel de vulnerabilidad de la víctima se vuelven a abrir dos opciones:
Infección sin archivos:Angler es capaz de inyectar en la propia memoria del programa vulnerable su código creando un nuevo proceso, gracias a esta técnica se evita la escritura en disco y se evitan problemas de detección. A partir de esta carga se puede descargar malware adicional.
Descarga:A partir del código ofuscado de la página a la que se ha dirigido a la víctima se crean paquetes de datos cifradas con XOR con una clave de 8 bytes. Una vez se realiza este proceso estas cargas se descargan en la víctima donde se descrifran y ejecutan. Con este cifrado también se dificulta cualquier intercepción de los paquetes en tránsito.
Como decíamos, las páginas de destino donde se aloja Angler son páginas muy confusas y llenas de código basura para de nuevo dificultar el estudio de las mismas. El código cifrado se almacena en etiquetas html <p> distribuidas y ofuscadas entre el contenido visible de la página. Una vez la víctima llega a esta página comienza la substitución de este contenido cifrado a través de la técnica de cifrado por substitución.
Malware
A través de los diferentes exploits que utiliza, Angler distribuye toda una serie de malware que realizan diferentes funciones en la víctima. Dependiendo de la variante de Angler o de las necesidades de los ciber delincuentes esta carga puede variar pero normalmente el malware más comunmente presente es por este orden: Zbot, Ransomware, Vawtrak y Necurs.
Evolución
Angler ahora mismo ocupa privilegiado lo que seguramente está reportando ingentes cantidades de dinero a su creador/es y esta posición de dominio la ha conseguido con su gran evolución durante todo el año 2014 y que sin duda continua en nuevas variantes aún no detectadas. Durante el pasado año se detectaron los siguientes cambios:
Primer Trimestre
- Uso de exploits de Silverlight (CVE-2013-0074)
- Cargas útiles de cifrado en binario (XOR)
- Exploits de Internet Explorer (CVE-2013-2551)
- Exploits de Flash añadido (CVE-2013-5330)
Segundo Trimestre
- Página de destino en 32x32
- Redirección de IP de Angler e información de usuario
Tercer Trimestre
- Infección sin archivos
Cuarto Trimestre
- Código shell y carga útil cifrados en XOR conjuntamente
- Identificacion de máquinas virtuales y otros productos de seguridad
Protección
Para protegernos de Angler o de cualquier otra amenaza las recomendaciones son siempre similares:
- Utilizar software legal y mantenerlo siempre actualizado (sistema operativo, navegadores, complementos....). En este aspecto reducir el número de programas o complementos instalados disminuye el riesgo a tener algún software vulnerable.
- Pensar antes de abrir archivos adjuntos o clickar en links sospechosos
- Disponer de software antivirus / firewall... obviamente mantenerlo siempre totalmente actualizado
- No trabajar con un usuario administrador para dificultar o evitar la ejecución del malware
- Utilizar complementos en nuestro navegador para bloquear la ejecución de secuencias de comandos, elementos iframe..
Fuente McAfee Labs y diversas otras páginas
