現(xiàn)在的互聯(lián)網(wǎng)似乎稍微安全了點(diǎn)，而我們應(yīng)該為此感恩。

[[151595]]

Cisco：每日9萬人淪為Angler EK的攻擊目標(biāo)

安全研究者深入研究了使用臭名昭著的釣魚工具包Angler Exploit Kit的犯罪團(tuán)伙，他們利用惡意軟件攻擊每月盜取高達(dá)300萬美元的收益。

Angler EK是一款用于網(wǎng)絡(luò)犯罪的釣魚攻擊工具包，幫助攻擊者感染計(jì)算機(jī)通過盜用合法網(wǎng)站或者攻擊者控制的網(wǎng)站的惡意軟件感染用戶電腦。該工具包常常利用Flash、Java以及其他瀏覽器插件中的漏洞入侵系統(tǒng)。

在超過60%的情況下，攻擊者使用例如CryptoWall或者TeslaCrypt的惡意軟件，綁架用戶電腦，向用戶索取贖金才恢復(fù)其設(shè)備或者文件的訪問。

Cisco公司的Talos安全情報(bào)與研究小組在最近幾個(gè)月中密切分析了Angler EK，偶然發(fā)現(xiàn)每天都會(huì)有9萬名無辜的受害者淪為攻擊的目標(biāo)，而此舉為犯罪團(tuán)伙每年帶來超過3000萬美元的收益。

安全研究者的反擊

研究者的探索不僅限于此，他們發(fā)現(xiàn)2015年7月期間使用漏洞利用工具的代理服務(wù)器主要地址歸屬于位于達(dá)拉斯的 主機(jī)托管服務(wù)供應(yīng)商Limestone Network公司以及巴伐利亞公司Hetzner。Angler使用過的具體IP地址如下所示：

Talos表示他們與Limestone和Hetzner聯(lián)系之后，收到了反饋并與Limestone建立了合作關(guān)系，使用后者提供的相關(guān)信息構(gòu)建出一張犯罪如何架構(gòu)基礎(chǔ)設(shè)施的圖片。

了解到Limestone正痛苦地因犯罪團(tuán)伙進(jìn)行的Angler EK活動(dòng)每個(gè)月承擔(dān)10000美元的損失，其中大部分是涉及信用卡詐騙消費(fèi)。

在分析了Limestone的系統(tǒng)中的工具包操作之后，Cisco更新了其網(wǎng)絡(luò)產(chǎn)品來封鎖到Angler的代理服務(wù)器的重定向鏈接，從而有效地保護(hù)消費(fèi)者免受感染影響。

這樣一來，連接到Angler EK的大約50%惡意活動(dòng)都無法生效了。

針對(duì)Angler濫用Limestone基礎(chǔ)設(shè)施的行動(dòng)已經(jīng)產(chǎn)生了戲劇性的結(jié)果。

例如，在2015年7月份，Limestone為Angler EK提供了其超過三分之一的IP地址。盡管占量比例不高，但這種趨勢(shì)8月仍在繼續(xù)。而現(xiàn)在，這項(xiàng)利用Limestone公司基礎(chǔ)設(shè)施的惡意活動(dòng)已經(jīng)停止了。

“在Talos的幫助之下，作為惡意活動(dòng)來源的Angler停止了他們的活動(dòng)，不僅替Limestone公司省下了一大筆錢，還消除了一個(gè)釣魚者可以利用的渠道。Limestone公司為我們提供的圖像副本顯示了使用過的服務(wù)器以及短期內(nèi)進(jìn)行攻擊的通信服務(wù)器網(wǎng)絡(luò)截圖。”

安全不安全：一場(chǎng)永不停歇戰(zhàn)役

安全專家Graham Cluley表示：

“我們不會(huì)騙自己說Cisco的行為讓Angler EK置之死地，但是此舉還是重?fù)袅朔缸锓肿拥膼阂饣顒?dòng)。當(dāng)然，這些有組織的犯罪團(tuán)體也不會(huì)善罷甘休的，還會(huì)卷土重來。”

我們可以肯定攻擊者還會(huì)再回來的，尋找替代機(jī)制以及Web托管服務(wù)器來協(xié)助他們侵染不知情的網(wǎng)絡(luò)用戶計(jì)算機(jī)。

盡管如此，我們還是欠安全研究者一聲感謝，正是他們對(duì)安全事業(yè)的全力以赴才讓我們享有了一個(gè)相對(duì)安全的互聯(lián)網(wǎng)環(huán)境。

想要了解更多信息，請(qǐng)閱讀來自Cisco的Talos安全研究人員的報(bào)告全文。