Angler maschera gli exploit: l’analisi di Kaspersky Lab

Gli esperti di Kaspersky Lab hanno condotto con successo un attacco nei confronti dell’implementazione del protocollo crittografico Diffie-Hellman, utilizzato dal noto exploit pack Angler. Gli autori del kit di exploit in questione, secondo i ricercatori, fanno uso della crittografia per cercare di ostacolare il rilevamento dell’operazione di download dell’exploit da parte di eventuali firewall, e per rendere particolarmente complicato l’ottenimento del codice dell’exploit da parte degli esperti di sicurezza IT.

Angler provvede a scaricare, in forma cifrata, gli shellcode relativi ad uno dei più recenti exploit destinati alla vulnerabilità CVE-2015-2419, rilevata nel browser Internet Explorer 11, e all’exploit appositamente creato per colpire la vulnerabilità CVE-2015-5560, individuata nell’applicazione Adobe Flash. Il primo exploit è stato descritto all’incirca un mese fa nel blog di FireEye; la relativa vulnerabilità CVE-2015-2419 è stata corretta nel mese di luglio dell’anno in corso. Il secondo è stato invece descritto alla fine di agosto da Kafeine, un ricercatore indipendente; la vulnerabilità CVE-2015-5560 è stata chiusa un mese fa.

Nel momento in cui viene effettuata – al server malevolo – la richiesta relativa all’exploit, si verifica uno scambio delle chiavi monouso, e nel browser viene caricato un array codificato, il quale contiene lo shellcode per lo sfruttamento della vulnerabilità. In tal modo, pur intercettando il traffico tra il browser dell’utente-vittima e il server, il ricercatore non è comunque in grado di riprodurre l’attacco e identificare le vulnerabilità. Tra l’altro, non ha luogo nemmeno un nuovo invio dello shellcode, visto che, dopo la restituzione dell’exploit, il server blocca l’indirizzo IP del mittente.

Nonostante i trucchi e gli espedienti messi in atto dagli autori di Angler, i ricercatori sono riusciti a rompere l’algoritmo di cifratura, mediante l’utilizzo di un algoritmo di Pohlig-Hellman modificato (algoritmo deterministico per il calcolo del logaritmo discreto in un gruppo ciclico), e a decodificare lo shellcode.

Fonte: Securelist

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *