Servere bag exploit kit er lukket ned

Artiklen blev oprindeligt publiceret den 8/10/2015

Flere af serverne, som har huset exploit kittet Angler, er lukket ned. Cisco deler information om truslen, så andre kan beskytte sig mod den.

Angler exploit kit er et program, der kører på en webserver. Hvis en browser besøger serveren, forsøger programmet at udnytte en række kendte sårbarheder til at inficere pc’en med.

Sikkerhedsforskere fra Cisco Talos har fundet frem til en række informationer om Angler. De har opdaget, at exploit kittet kører på en server, hvis indhold kopieres over på en lang række proxy-servere. På den måde kan bagmændene beskytte serveren, idet forsøg på at stoppe truslen kun går ud over proxy-serverne.

Et enkelt hosting-firma viste sig at stå bag halvdelen af Angler-aktiviteten. Ved at samarbejde med det fik Cisco information om truslen og mulighed for at lukke mange af proxyserverne ned.

Cisco har udsendt såkaldte IOC’er (Indicator of Compromise), som kan bruges til at påvise infektioner. Der er også udsendt IDS-regler i Snort-format til at opdage Angler-trafik på et netværk.

Anbefaling
Sikkerhedsfolk bør udnytte informationen om Angler til at spærre for adgangen til de farlige websteder.

Links