News

Angler maschera gli exploit: l’analisi di Kaspersky Lab

Gli esperti di Kaspersky Lab hanno condotto con successo un attacco nei confronti dell’implementazione del protocollo crittografico Diffie-Hellman, utilizzato dal noto exploit pack Angler. Gli autori del kit di exploit in questione, secondo i ricercatori, fanno uso della crittografia per cercare di ostacolare il rilevamento dell’operazione di download dell’exploit da parte di eventuali firewall, e per rendere particolarmente complicato l’ottenimento del codice dell’exploit da parte degli esperti di sicurezza IT.

Angler provvede a scaricare, in forma cifrata, gli shellcode relativi ad uno dei più recenti exploit destinati alla vulnerabilità CVE-2015-2419, rilevata nel browser Internet Explorer 11, e all’exploit appositamente creato per colpire la vulnerabilità CVE-2015-5560, individuata nell’applicazione Adobe Flash. Il primo exploit è stato descritto all’incirca un mese fa nel blog di FireEye; la relativa vulnerabilità CVE-2015-2419 è stata corretta nel mese di luglio dell’anno in corso. Il secondo è stato invece descritto alla fine di agosto da Kafeine, un ricercatore indipendente; la vulnerabilità CVE-2015-5560 è stata chiusa un mese fa.

Nel momento in cui viene effettuata – al server malevolo – la richiesta relativa all’exploit, si verifica uno scambio delle chiavi monouso, e nel browser viene caricato un array codificato, il quale contiene lo shellcode per lo sfruttamento della vulnerabilità. In tal modo, pur intercettando il traffico tra il browser dell’utente-vittima e il server, il ricercatore non è comunque in grado di riprodurre l’attacco e identificare le vulnerabilità. Tra l’altro, non ha luogo nemmeno un nuovo invio dello shellcode, visto che, dopo la restituzione dell’exploit, il server blocca l’indirizzo IP del mittente.

Nonostante i trucchi e gli espedienti messi in atto dagli autori di Angler, i ricercatori sono riusciti a rompere l’algoritmo di cifratura, mediante l’utilizzo di un algoritmo di Pohlig-Hellman modificato (algoritmo deterministico per il calcolo del logaritmo discreto in un gruppo ciclico), e a decodificare lo shellcode.

Fonte: Securelist

Angler maschera gli exploit: l’analisi di Kaspersky Lab

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox