Translate

Tuesday, 30 December 2025

What is Anomaly-based detection in Cyber Security

 In cybersecurity, Anomaly-Based Detection is a technique that identifies potential threats by spotting deviations from "normal" behavior. Unlike traditional methods that look for specific "fingerprints" of known viruses, this approach focuses on the context and patterns of activity to find things that just don't belong.

How It Works: The Two Phases

To find an anomaly, the system must first know what "normal" looks like. It typically operates in two distinct phases:

1. The Training Phase (Establishing a Baseline)

During this stage, the system monitors the network or host for a period of time to build a profile of normal activity. It gathers data on:

  • Standard working hours for specific users.

  • Typical volume of data transferred.

  • Commonly accessed files and servers.

  • Standard protocols and ports used.

2. The Monitoring Phase (Deviation Detection)

Once the baseline is set, the system compares live activity against it. If a data point falls outside the established "mathematical boundaries" or statistical norms, it triggers an alert.

Detailed Examples of Anomalies

1. "Impossible Travel" (User Behavior)

A user logs in from an office in New York at 9:00 AM. Ten minutes later, the same account attempts to log in from Singapore.

  • Why it's flagged: Since it is physically impossible to travel that distance in ten minutes, the system flags this as a potential credential theft or session hijack.

2. Midnight Data Exfiltration (Network Traffic)

A marketing employee’s computer typically uploads about 50MB of data to the cloud during work hours. Suddenly, at 3:00 AM on a Sunday, that same computer begins uploading 10GB of encrypted data to an unknown IP address in a different country.

  • Why it's flagged: The volume, the time of day, and the destination are all extreme deviations from the "marketing employee" baseline.

3. Lateral Movement (Internal Probing)

A workstation in the HR department, which normally only communicates with the payroll server, suddenly starts trying to "ping" or connect to multiple servers in the Engineering and Research & Development departments.

  • Why it's flagged: This is a classic sign of an attacker who has compromised one machine and is now "looking around" (reconnaissance) to find more valuable targets.

4. Dormant Account Activity

An administrator account that has been inactive for six months suddenly logs in and starts changing permissions on the company's main database.

  • Why it's flagged: The baseline for this account is "zero activity." Any sudden burst of high-privilege actions is highly suspicious.

Anomaly-Based vs. Signature-Based Detection

FeatureSignature-Based (Traditional)Anomaly-Based (Modern/AI)
Logic"Does this look like a known threat?""Does this look different from normal?"
Best ForDetecting known malware/viruses.Detecting Zero-Day (unknown) exploits.
ProsVery fast; Low false-positive rate.Proactive; Can catch "stealthy" insiders.
ConsBlind to new, never-seen-before attacks.Can have high False Positives (flagging unusual but legal work).

Why is it used?

  • Zero-Day Protection: It is the only way to catch attacks that have no existing signature (brand-new malware).

  • Insider Threats: It can detect a disgruntled employee stealing data, even if they are using their legitimate login credentials.

  • Polymorphic Malware: It catches malware that changes its own code to avoid signature-based scanners, because the behavior of the malware (encrypting files, etc.) remains anomalous.



సైబర్ సెక్యూరిటీలో అనామలీ-ఆధారిత గుర్తింపు (Anomaly-Based Detection) అనేది సాధారణ ప్రవర్తన (Normal Behavior) నుండి విభిన్నంగా ఉండే పనులను గుర్తించే ఒక పద్ధతి. సులభంగా చెప్పాలంటే, ఒక సిస్టమ్ లేదా నెట్‌వర్క్‌లో "సాధారణంగా జరిగే పనులు ఏవి?" మరియు "అసాధారణంగా జరిగే పనులు ఏవి?" అనే తేడాని బట్టి ఇది ముప్పులను గుర్తిస్తుంది.

సాంప్రదాయ పద్ధతులు తెలిసిన వైరస్‌ల "ఫింగర్‌ప్రింట్స్" (Signatures) కోసం వెతుకుతాయి, కానీ ఈ పద్ధతి ప్రవర్తన (Behavior) మీద దృష్టి పెడుతుంది.

ఇది ఎలా పని చేస్తుంది? (రెండు దశలు)

ఒక పని అసాధారణమైనదా కాదా అని చెప్పాలంటే, ముందుగా "సాధారణం" అంటే ఏమిటో సిస్టమ్‌కు తెలియాలి. దీనికోసం ఇది రెండు దశల్లో పనిచేస్తుంది:

1. శిక్షణ దశ (Training Phase - బేస్‌లైన్ ఏర్పాటు)

ఈ దశలో, సిస్టమ్ నెట్‌వర్క్‌ను కొంతకాలం పరిశీలించి ఒక "బేస్‌లైన్" (Baseline) సిద్ధం చేస్తుంది. అంటే:

  • యూజర్లు సాధారణంగా ఏ సమయంలో లాగిన్ అవుతారు?

  • రోజుకు ఎంత డేటా ట్రాన్స్‌ఫర్ అవుతుంది?

  • ఏ ఏ ఫైల్స్ లేదా సర్వర్లను ఎక్కువగా ఉపయోగిస్తారు?

2. పర్యవేక్షణ దశ (Monitoring Phase - విచలనాన్ని గుర్తించడం)

బేస్‌లైన్ సిద్ధమైన తర్వాత, సిస్టమ్ నిరంతరం పర్యవేక్షిస్తుంది. ఏదైనా పని ముందే నిర్ణయించిన "సాధారణ పరిమితుల" కంటే భిన్నంగా ఉంటే, వెంటనే అలర్ట్ చేస్తుంది.

అనామలీ-ఆధారిత గుర్తింపుకు ఉదాహరణలు

1. అసాధ్యమైన ప్రయాణం (Impossible Travel)

ఒక యూజర్ ఉదయం 9:00 గంటలకు హైదరాబాద్ నుండి లాగిన్ అయ్యారు. సరిగ్గా పది నిమిషాల తర్వాత, అదే అకౌంట్ నుండి అమెరికా లో లాగిన్ అవ్వడానికి ప్రయత్నం జరిగింది.

  • ఎందుకు గుర్తిస్తుంది: 10 నిమిషాల్లో అంత దూరం వెళ్లడం అసాధ్యం. కాబట్టి, ఆ యూజర్ పాస్‌వర్డ్ ఎవరో దొంగిలించారని సిస్టమ్ అనుమానిస్తుంది.

2. అర్ధరాత్రి భారీ డేటా బదిలీ (Network Traffic)

ఒక ఆఫీస్ ఉద్యోగి కంప్యూటర్ నుండి రోజుకు 50MB డేటా మాత్రమే క్లౌడ్‌లోకి వెళ్తుంది. కానీ ఒక ఆదివారం అర్ధరాత్రి 3:00 గంటలకు, అదే కంప్యూటర్ నుండి 10GB డేటా విదేశీ ఐపీ అడ్రస్‌కు వెళ్తోంది.

  • ఎందుకు గుర్తిస్తుంది: సమయం, డేటా పరిమాణం (Volume) మరియు వెళ్తున్న ప్రదేశం.. ఇవన్నీ బేస్‌లైన్ కంటే చాలా భిన్నంగా ఉన్నాయి.

3. అంతర్గత గూఢచర్యం (Lateral Movement)

HR విభాగంలోని ఒక కంప్యూటర్ సాధారణంగా పేరోల్ సర్వర్‌తో మాత్రమే కనెక్ట్ అవుతుంది. కానీ అకస్మాత్తుగా ఆ కంప్యూటర్ ఇంజనీరింగ్ లేదా రీసెర్చ్ సర్వర్లలోకి చొరబడటానికి ప్రయత్నిస్తోంది.

  • ఎందుకు గుర్తిస్తుంది: ఆ కంప్యూటర్ యొక్క పరిమితి దాటి కొత్త సర్వర్లను వెతకడం అసాధారణ ప్రవర్తనగా పరిగణించబడుతుంది.

4. నిద్రాణమైన అకౌంట్ల యాక్టివిటీ (Dormant Account)

గత ఆరు నెలలుగా వాడకంలో లేని ఒక అడ్మిన్ అకౌంట్, అకస్మాత్తుగా లాగిన్ అయ్యి డేటాబేస్ పర్మిషన్లను మార్చడం ప్రారంభించింది.

  • ఎందుకు గుర్తిస్తుంది: ఆ అకౌంట్ ప్రవర్తన ప్రకారం అది "సున్నా యాక్టివిటీ"లో ఉండాలి. ఒక్కసారిగా కీలక మార్పులు చేయడం అనుమానాస్పదం.

సిగ్నేచర్ వర్సెస్ అనామలీ గుర్తింపు

ఫీచర్సిగ్నేచర్-ఆధారిత (Signature-Based)అనామలీ-ఆధారిత (Anomaly-Based)
తర్కం"ఇది పాత వైరస్‌లా ఉందా?""ఇది సాధారణం కంటే భిన్నంగా ఉందా?"
ప్రయోజనంతెలిసిన వైరస్‌లను ఆపుతుంది.కొత్త రకం (Zero-day) దాడులను గుర్తిస్తుంది.
లాభంతక్కువ తప్పుడు హెచ్చరికలు.తెలియని ముప్పుల నుండి రక్షణ.
లోపంకొత్త వైరస్‌లను గుర్తించలేదు.అప్పుడప్పుడు సాధారణ పనులను కూడా తప్పుగా గుర్తించవచ్చు.

దీని వల్ల లాభం ఏమిటి?

  • కొత్త దాడుల గుర్తింపు (Zero-Day Attacks): మార్కెట్లోకి కొత్తగా వచ్చిన, ఇంకా ఎవరికీ తెలియని వైరస్‌లను కూడా ఇది పసిగట్టగలదు.

  • లోపలి వ్యక్తుల నుండి రక్షణ: కంపెనీలో పనిచేసే వారే డేటా దొంగిలించడానికి ప్రయత్నిస్తే, వారి ప్రవర్తనలోని మార్పుల ద్వారా వారిని పట్టుకోవచ్చు.

Posted by at No comments:
Labels:

What is Adware in Cyber Security 02

 In cybersecurity, Adware (short for advertising-supported software) is a type of software designed to display unwanted advertisements on your computer or mobile device. While some adware is legitimate and helps keep software free, much of it is classified as Malicious Adware or a Potentially Unwanted Program (PUP) because it installs itself without your consent and can compromise your privacy.

1. How Adware Works

Adware typically generates revenue for its developer in three ways:

  • Pay-per-view (PPV): Every time an ad is displayed.

  • Pay-per-click (PPC): Every time you click an ad.

  • Pay-per-install (PPI): Every time the software is installed on a device.

Common Delivery Methods:

  1. Software Bundling: You download a "free" program (like a PDF converter or a game), and the adware is hidden in the "Express" or "Recommended" installation settings.

  2. Browser Hijacking: It changes your browser’s homepage or default search engine to a site filled with ads.

  3. Vulnerability Exploits: Visiting a compromised website can trigger a "drive-by download" that installs the adware through a security hole in your browser.

2. Types of Adware

Adware exists on a spectrum from "annoying but legal" to "dangerous and malicious."

TypeDescriptionIntent
Legitimate AdwareSoftware that asks for permission to show ads in exchange for being free.Revenue to support development.
Spyware-AdwareTracks your browsing habits, location, and search history to serve "targeted" ads.Data collection and profiling.
Malicious AdwareOften acts as a gateway for other malware like Trojans or Ransomware.Financial theft or system damage.

3. Real-World Examples

To understand the scale of adware, here are some of the most infamous examples in cybersecurity history:

A. Fireball (Browser Hijacker)

In 2017, a massive adware campaign called Fireball infected over 250 million computers worldwide. It hijacked browsers to change default search engines and tracked web traffic. Its most dangerous feature was the ability to remotely execute any code on the victim's machine, effectively acting as a "backdoor."

B. Superfish (Pre-installed Adware)

In 2015, Lenovo was caught pre-installing a program called Superfish on its laptops. It was designed to inject ads into Google search results. However, it used a "Man-in-the-Middle" technique that broke web security (SSL), making it easy for hackers to steal users' passwords and sensitive data.

C. Gator (The "Claria" Software)

Gator was one of the earliest famous examples. It was often bundled with free software like Kazaa. It tracked user behavior to display pop-up ads based on the websites they visited. It became so pervasive that it was one of the primary targets for the first-ever "anti-spyware" programs.

D. Durak (Mobile Adware)

A popular card game on Android, Durak, once contained adware that waited up to 30 days after installation before showing any symptoms. This "time-bomb" tactic made it difficult for users to figure out which app was causing the sudden influx of ads and fake "system update" warnings.

4. Telltale Signs of Infection

If your device is infected with adware, you will likely notice:

  • Performance Drops: Your device runs significantly slower or crashes frequently.

  • Home Page Changes: Your browser opens to a website you don't recognize.

  • Unclosable Pop-ups: Ads appear on your desktop even when no browser is open.

  • New Toolbars: Mysterious buttons or search bars appear in your browser.

5. How to Stay Protected

  • Use an Ad-Blocker: Extensions like uBlock Origin can prevent many adware scripts from running.

  • Custom Installation: Always choose "Custom" or "Advanced" installation when downloading free software to uncheck "bonus" programs.

  • Keep Software Updated: Patching your browser and OS prevents "drive-by" infections.

  • Run Antivirus Scans: Use reputable tools (like Malwarebytes or Bitdefender) specifically designed to detect and remove PUPs and adware.







1. యాడ్‌వేర్ (Adware) అంటే ఏమిటి?

"Adware" అనేది Advertising-supported software కు సంక్షిప్త రూపం. ఇది మీ కంప్యూటర్ లేదా మొబైల్ ఫోన్‌లో మీకు ఇష్టం లేకపోయినా, పదే పదే ప్రకటనలను (Ads) చూపించేలా రూపొందించబడిన ఒక రకమైన సాఫ్ట్‌వేర్. కొన్ని యాడ్‌వేర్‌లు కేవలం చిరాకు తెప్పిస్తే, మరికొన్ని మీ వ్యక్తిగత సమాచారాన్ని దొంగిలించే ప్రమాదకరమైన Malware (మాల్‌వేర్) లాగా పనిచేస్తాయి.

ఇది ఎలా పని చేస్తుంది?

యాడ్‌వేర్ డెవలపర్లు మూడు మార్గాల్లో డబ్బు సంపాదిస్తారు:

  • Pay-per-view (PPV): మీరు ఆ ప్రకటనను చూసిన ప్రతిసారీ వారికి డబ్బు అందుతుంది.

  • Pay-per-click (PPC): మీరు పొరపాటున ఆ అడ్వర్‌టైజ్‌మెంట్‌పై క్లిక్ చేస్తే వారికి డబ్బు వెళ్తుంది.

  • Pay-per-install (PPI): ఆ ప్రకటన ద్వారా వేరే యాప్‌ను ఇన్‌స్టాల్ చేసినప్పుడు వారికి కమిషన్ వస్తుంది.

2. యాడ్‌వేర్ మీ డివైజ్‌లోకి ఎలా వస్తుంది?

  1. సాఫ్ట్‌వేర్ బండ్లింగ్ (Software Bundling): మీరు ఇంటర్నెట్ నుండి ఏదైనా ఉచిత సాఫ్ట్‌వేర్ (ఉదాహరణకు: Video Player లేదా PDF Converter) డౌన్‌లోడ్ చేసినప్పుడు, దానితో పాటు ఈ యాడ్‌వేర్ కూడా రహస్యంగా ఇన్‌స్టాల్ అవుతుంది.

  2. బ్రౌజర్ హైజాకింగ్ (Browser Hijacking): మీ అనుమతి లేకుండా మీ బ్రౌజర్ హోమ్ పేజీని లేదా సెర్చ్ ఇంజిన్‌ను మార్చేస్తుంది.

  3. ప్రమాదకరమైన వెబ్‌సైట్లు: కొన్ని పైరేటెడ్ వెబ్‌సైట్లు సందర్శించినప్పుడు అవి ఆటోమేటిక్‌గా ఈ సాఫ్ట్‌వేర్‌ను మీ ఫోన్ లేదా పీసీలోకి పంపిస్తాయి.

3. నిజ జీవిత ఉదాహరణలు (Real-World Examples)

పేరువివరణ
Fireball (ఫైర్‌బాల్)2017లో వచ్చిన ఈ యాడ్‌వేర్ ప్రపంచవ్యాప్తంగా 25 కోట్ల కంప్యూటర్లను ప్రభావితం చేసింది. ఇది బ్రౌజర్‌ను కంట్రోల్ చేసి, యూజర్లు ఏం సెర్చ్ చేస్తున్నారో ట్రాక్ చేసేది.
Superfish (సూపర్ ఫిష్)2015లో లెనోవా ల్యాప్‌టాప్‌లలో ఇది ముందుగానే ఇన్‌స్టాల్ అయి వచ్చేది. ఇది గూగుల్ సెర్చ్ రిజల్ట్స్‌లో కూడా సొంత ప్రకటనలను చొప్పించేది, దీనివల్ల యూజర్ల సెక్యూరిటీకి ముప్పు ఏర్పడింది.
Durak (దురాక్)ఇది ఒక ఆండ్రాయిడ్ గేమ్ యాప్. ఇది ఇన్‌స్టాల్ అయిన 30 రోజుల వరకు ఏమీ తెలియనట్టు ఉండి, ఆ తర్వాత ఫోన్ నిండా అశ్లీల ప్రకటనలు మరియు నకిలీ సిస్టమ్ అప్‌డేట్ వార్నింగ్‌లను చూపించేది.
Gator (గేటర్)ఇది ఇంటర్నెట్ ప్రారంభ రోజుల్లో బాగా పాపులర్. ఉచిత సాఫ్ట్‌వేర్‌లతో కలిసి వచ్చి, యూజర్ల వెబ్ అలవాట్లను గమనిస్తూ వారికి నచ్చిన యాడ్స్ చూపించేది.

4. మీ డివైజ్‌లో యాడ్‌వేర్ ఉందని గుర్తించడం ఎలా?

  • మీ కంప్యూటర్ లేదా మొబైల్ అకస్మాత్తుగా చాలా స్లో అయిపోవడం.

  • మీరు ఏ వెబ్‌సైట్ ఓపెన్ చేసినా విపరీతమైన Pop-up Ads రావడం.

  • మీ బ్రౌజర్ Home Page మీకు తెలియకుండానే మారిపోవడం.

  • మీకు తెలియని కొత్త Toolbars లేదా యాప్స్ మీ డివైజ్‌లో కనిపించడం.

5. యాడ్‌వేర్ నుండి రక్షణ పొందడం ఎలా?

  • అప్రమత్తంగా ఉండండి: ఏదైనా సాఫ్ట్‌వేర్ ఇన్‌స్టాల్ చేసేటప్పుడు "Express" కాకుండా "Custom" సెట్టింగ్స్ ఎంచుకుని, అనవసరమైన బాక్సులను అన్‌చెక్ (Uncheck) చేయండి.

  • Ad-blockers వాడండి: ఇవి అనవసరమైన ప్రకటనలను నిలువరిస్తాయి.

  • నమ్మకమైన యాంటీవైరస్: Malwarebytes లేదా Bitdefender వంటి సాఫ్ట్‌వేర్‌లను వాడి క్రమం తప్పకుండా స్కాన్ చేయండి.

  • అప్‌డేట్స్: మీ బ్రౌజర్ మరియు ఆపరేటింగ్ సిస్టమ్‌ను ఎప్పటికప్పుడు అప్‌డేట్ చేస్తూ ఉండండి.

Posted by at No comments:
Labels:

What is " Angler Exploit Kit " in Cyber Security

 The Angler Exploit Kit (EK) was once the most sophisticated and feared "Exploit Kit" in the world of cybersecurity. First discovered in 2013, it became the gold standard for cybercriminals due to its extreme agility, use of zero-day vulnerabilities, and advanced evasion techniques.

At its peak in 2015, it was responsible for roughly 40% of all exploit kit infections globally, generating an estimated $34 million annually for its operators before it went dark in mid-2016.

1. How the Angler Exploit Kit Works

An exploit kit is a "toolkit" hosted on a server that automatically identifies vulnerabilities on a visitor's computer and installs malware. Angler’s operation followed a highly automated four-stage lifecycle:

Phase 1: The Lure (Compromised Sites)

Users didn't visit Angler directly. Instead, they were "lured" through:

  • Compromised Websites: Hackers would inject malicious code into legitimate but poorly secured websites (often WordPress or Apache sites).

  • Malvertising: Malicious advertisements placed on high-traffic, reputable news or entertainment sites.

Phase 2: Redirection

Once a user visited a compromised site, they were silently redirected to the Angler Landing Page. To stay hidden, Angler used Domain Shadowing—creating thousands of subdomains on legitimate, hijacked accounts so that security filters wouldn't block them.

Phase 3: Profiling & Fingerprinting

The landing page would "sniff" the visitor's computer. It checked for:

  • Browser Type & Version: (e.g., Internet Explorer, Chrome).

  • Active Plugins: It looked for outdated versions of Adobe Flash, Java, or Microsoft Silverlight.

  • Anti-Virus & Sandboxes: It checked for security software or virtual environments used by researchers. If it detected a "sandbox," it would stop the attack to avoid being analyzed.

Phase 4: Exploitation & Payload

If a vulnerability was found, Angler would launch the specific exploit needed to "crack" the system and deliver the Payload (the actual malware).

2. Key Advanced Features

What made Angler "the king" of exploit kits were its unique technical innovations:

  • Fileless Infection: Unlike older kits that saved a virus file to your hard drive, Angler could inject malware directly into the computer's RAM (Memory). Because nothing was written to the disk, traditional anti-virus scanners often couldn't see it.

  • Zero-Day Rapid Adoption: Angler's developers were famous for integrating "Zero-Day" exploits (flaws that the software vendor doesn't even know about yet) within hours of them becoming public.

  • Code Obfuscation: To fool security software, the landing page often appeared to contain harmless text, such as random quotes from Jane Austen novels, which hid the malicious scripts.

  • Encrypted Payloads: The malware was sent over the network in an encrypted state and only decrypted once it was inside the victim's memory, making it invisible to network firewalls.

3. Notable Examples & Targets

Angler was primarily a "delivery service" for other types of malware. Here are some of its most famous "customers":

Payload TypeExamplesDescription
RansomwareCryptoWall, TeslaCryptUsers would visit a site and, minutes later, find all their files encrypted with a demand for Bitcoin.
Banking TrojansVawtrak, DridexTargeted financial information and login credentials by intercepting browser traffic.
Adware/Click-FraudBedepUsed the infected computer to silently "click" on ads in the background, making money for the hackers.

The "Hacking Team" Incident (2015)

In 2015, a high-profile surveillance company called "Hacking Team" was hacked, and several of their secret Flash zero-day exploits were leaked. Angler was the first kit to integrate these exploits, doing so within just a few hours. This allowed the kit to infect even fully updated computers that hadn't yet received an emergency patch from Adobe.

4. Why is it "Gone" Now?

In June 2016, Angler suddenly vanished. This coincided with the arrest of 50 members of the Lurk botnet gang by Russian authorities. While the kit itself is dead, its legacy lives on. Many of its techniques—like fileless infection and domain shadowing—have been adopted by newer kits like RIG and Magnitude, though none have reached the same level of dominance.

How to Protect Yourself

Because Angler targeted software vulnerabilities, the best defenses remain:

  1. Keep Software Updated: Patching browsers and plugins is the #1 defense.

  2. Remove Unused Plugins: If you don't need Flash or Silverlight (which are mostly obsolete), uninstall them.

  3. Use Modern Browsers: Modern versions of Chrome and Edge have "sandboxing" features that make exploit kit attacks much harder.




సైబర్ సెక్యూరిటీ ప్రపంచంలో "Angler Exploit Kit (EK)" అనేది ఒకప్పుడు అత్యంత శక్తివంతమైన మరియు అధునాతనమైన సాధనం. 2013లో వెలుగులోకి వచ్చిన ఈ కిట్, హ్యాకర్లకు ఒక "సర్వీస్" లాగా పనిచేసేది. 2016లో ఇది నిలిచిపోయే సమయానికి, ప్రపంచవ్యాప్తంగా జరిగిన సైబర్ దాడుల్లో దాదాపు 40% దీని ద్వారానే జరిగేవి.

దీని గురించి పూర్తి వివరాలు ఇక్కడ ఉన్నాయి:

1. యాంగ్లర్ ఎక్స్‌ప్లాయిట్ కిట్ అంటే ఏమిటి?

సరళంగా చెప్పాలంటే, ఇది ఒక ఆటోమేటెడ్ సాఫ్ట్‌వేర్ ప్యాకేజీ. ఇది మీ కంప్యూటర్ లేదా బ్రౌజర్‌లో ఉన్న భద్రతా లోపాలను (Vulnerabilities) వెతికి పట్టుకుని, వాటి ద్వారా మీ ప్రమేయం లేకుండానే మాల్‌వేర్‌ను ఇన్‌స్టాల్ చేస్తుంది.

ఇది ఎలా పనిచేస్తుంది? (4 దశలు):

  1. Lure (ఆశ చూపడం): వినియోగదారులను నేరుగా ఒక హానికరమైన వెబ్‌సైట్‌కి రప్పించడం కష్టం. అందుకే హ్యాకర్లు సాధారణంగా ఉండే మంచి వెబ్‌సైట్‌లను హ్యాక్ చేసి, వాటిలో మాల్‌వేర్ కోడ్‌ను ఉంచుతారు లేదా ప్రకటనల (Malvertising) ద్వారా మిమ్మల్ని ఆకర్షిస్తారు.

  2. Redirection (దారి మళ్ళించడం): మీరు ఆ వెబ్‌సైట్‌ను సందర్శించిన వెంటనే, మీకు తెలియకుండానే మీ బ్రౌజర్ 'యాంగ్లర్ ల్యాండింగ్ పేజీ'కి మళ్ళించబడుతుంది.

  3. Profiling (పరిశీలన): ఈ పేజీ మీ కంప్యూటర్‌ను స్కాన్ చేస్తుంది. మీరు ఏ బ్రౌజర్ వాడుతున్నారు? మీ దగ్గర Flash, Java వంటి పాత వెర్షన్లు ఉన్నాయా? అని చెక్ చేస్తుంది.

  4. Exploitation (దాడి): మీ సిస్టమ్‌లో ఏదైనా లోపం కనిపిస్తే, వెంటనే ఆ రంధ్రం ద్వారా Payload (వైరస్ లేదా రాన్సమ్‌వేర్)ను లోపలికి పంపిస్తుంది.

2. యాంగ్లర్ ఎందుకు అంత ప్రమాదకరమైనది? (ముఖ్య లక్షణాలు)

యాంగ్లర్ కిట్‌కు కొన్ని ప్రత్యేకతలు ఉన్నాయి, ఇవే దీనిని "కింగ్ ఆఫ్ ఎక్స్‌ప్లాయిట్ కిట్స్"గా మార్చాయి:

  • Fileless Infection (ఫైల్ లేని ఇన్ఫెక్షన్): సాధారణ వైరస్‌లు మీ హార్డ్ డిస్క్‌లో సేవ్ అవుతాయి. కానీ యాంగ్లర్ మాల్‌వేర్‌ను నేరుగా మీ కంప్యూటర్ RAM (మెమరీ) లోనే రన్ చేస్తుంది. దీనివల్ల యాంటీ వైరస్ సాఫ్ట్‌వేర్‌లు దీనిని గుర్తించడం చాలా కష్టం.

  • Domain Shadowing (డొమైన్ షాడోయింగ్): హ్యాకర్లు వేల సంఖ్యలో చిన్న చిన్న సబ్-డొమైన్‌లను సృష్టించి, భద్రతా వ్యవస్థల కళ్లు గప్పి దాడులు చేసేవారు.

  • Zero-Day Exploits: సాఫ్ట్‌వేర్ కంపెనీలకు కూడా తెలియని లోపాలను (Zero-day) ఇవి కేవలం గంటల వ్యవధిలోనే వాడుకోగలవు.

  • Detection Evasion: ఇది విశ్లేషకుల దగ్గర ఉండే 'సాండ్‌బాక్స్' వాతావరణాన్ని గుర్తించగలదు. ఒకవేళ ఎవరైనా సెక్యూరిటీ రీసెర్చర్ దీనిని పరీక్షించడానికి ప్రయత్నిస్తే, ఇది వెంటనే తన పనిని ఆపేసి దాక్కుంటుంది.

3. ఉదాహరణలు మరియు దాడులు

యాంగ్లర్ కిట్ ద్వారా పంపబడిన కొన్ని ప్రధాన మాల్‌వేర్లు:

రకంఉదాహరణవివరణ
RansomwareCryptoWall, TeslaCryptమీ కంప్యూటర్‌లోని ఫైల్స్‌ను లాక్ చేసి, డబ్బులు (బిట్‌కాయిన్) అడగడం.
Banking TrojansDridexమీ బ్యాంక్ యూజర్ నేమ్, పాస్‌వర్డ్‌లను దొంగిలించడం.
MalvertisingDaily Motion, Forbesఒకప్పుడు ఫోర్బ్స్ వంటి పెద్ద వెబ్‌సైట్‌లలోని యాడ్స్ ద్వారా కూడా యాంగ్లర్ వ్యాపించింది.

4. ఇప్పుడు ఇది ఉందా?

2016 జూన్ ప్రాంతంలో, రష్యాలో ఒక సైబర్ నేరగాళ్ల ముఠాను అరెస్టు చేసిన తర్వాత యాంగ్లర్ ఎక్స్‌ప్లాయిట్ కిట్ అకస్మాత్తుగా ఆగిపోయింది. అయితే, దీనిని స్ఫూర్తిగా తీసుకుని RIG, Magnitude వంటి మరిన్ని కొత్త కిట్లు పుట్టుకొచ్చాయి.

మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలి?

  1. సాఫ్ట్‌వేర్ అప్‌డేట్స్: మీ బ్రౌజర్ (Chrome, Edge), విండోస్ ఓఎస్ మరియు ప్లగిన్‌లను ఎప్పటికప్పుడు అప్‌డేట్ చేయాలి.

  2. అవసరం లేని ప్లగిన్‌లు వద్దు: Adobe Flash, Java వంటి పాత మరియు అవసరం లేని ప్లగిన్‌లను అన్‌ఇన్‌స్టాల్ చేయండి.

  3. యాడ్ బ్లాకర్స్ వాడండి: మాల్‌వర్టైజింగ్ నుండి తప్పించుకోవడానికి నమ్మకమైన యాడ్ బ్లాకర్లను వాడడం మంచిది.

Posted by at No comments:
Labels:
Subscribe to: Comments (Atom)