A menudo cuando se analiza el tráfico de red, podemos encontrarnos
patrones pertenecientes a los ya conocidos Angler EK,
Nuclear EK y
Magnitude EK.
Normalmente vendidos en el mercado negro, un
Exploit Kit (EK) es un
conjunto de herramientas que automatiza la explotación de
vulnerabilidades en el cliente, dirigidas a navegadores y plugins que un
sitio web puede invocar como Adobe Flash Player, Microsoft
Silverlight, Adobe Reader, Java, etc., para infectar equipos mientras
se navega por Internet en lo que se llama
drive-by download attacks.
Dichos patrones pueden ser detectados por reglas de SNORT como:
ET CURRENT_EVENTS Cushion Redirection
ET CURRENT_EVENTS Possible Nuclear EK Landing URI Struct T1
ET CURRENT_EVENTS Malvertising Redirection to Exploit Kit Aug 07 2014
ET CURRENT_EVENTS DRIVEBY
Nuclear EK Landing May 23 2014
Después, analizando los logs de navegación para averiguar si el equipo
ha sido infectado, podemos observar, el navegador del usuario contacta
con una web ...
Continuar leyendo