暗网系列之:暗网威胁中常见的技术与战术(一)

背景介绍

暗网是与公开可访问的地面网络相对的、仅能通过加密链接访问的网络。暗网以其大量从事非法交易的市场和社区而备受执法机关和媒体的关注。

事实上,暗网上的内容纷繁复杂,混迹其中的角色除了注重隐私或逃避当局监测的自由派人士之外,还包括了形形色色的边缘人物,如企图购买假冒商品的商贩、毒贩和网络犯罪分子。本文讲述的重点是暗网中的网络犯罪态势,通过一些具体的案例,探索一下暗网中网络犯罪分子常用的技术和战术,从中我们可能会更加清楚这些威胁行为者是如何在暗网中开展业务的。了解对手使用的新的技术和战术,可以帮助我们更好的制定并实施有效的防护措施。

*资料来源:Recorded Future

出售泄露的数据,尤其是用户凭据

由于黑客攻击和数据泄漏是如此普遍,某些暗网市场已经成为交易泄露数据和用户凭据的代名词。不择手段的诈骗分子利用这些被盗的凭据(包括身份凭证、电子邮件和社交媒体账户等)实施诈骗谋求利益。部分兜售凭据的卖家甚至还专门提供远程服务器的登录服务,或向特定员工发送鱼叉式网络钓鱼的服务。

暗网市场中也不乏一些关于企业数据机密信息的交易需求,例如一些企业的知识产品或客户信息,这些信息的泄露原因中,除了网络攻击之外,也有一些是由企业的内部人士提供的,他们这么做大多也是出于获利目的,也有一些是员工因对企业不满的报复行为。

上述视频记录了“暗网中的攻击者如何利用泄露的个人数据进行谋利”。

讨论漏洞信息,并交易漏洞利用工具

暗网上有许多论坛专门讨论各类系统和应用程序的脆弱性,并提供漏洞利用相关的工具或服务。近期的研究发现,在被公开的漏洞库收录或有漏洞的系统官方公布之前,75%的漏洞都会首先在各种论坛、博客、社交媒体平台以及暗网中传播。

由于人们会提供一些与漏洞相关的信息,有能力的攻击者会从这些信息中挖掘出漏洞利用的潜在机会。

为了传播的便利,人们会把漏洞详情翻译成多种语言版本,使得这些漏洞以最快的速度传播到世界各地。

很多攻击者会把POC分享到GitHub或暗网网站上,暗网市场上的威胁行为者企图通过出售0-day或1-day漏洞来谋取暴力。在之前的文章中我们也提到过,0-day漏洞越来越昂贵,越新鲜的漏洞价值越高,不少0-day或1-day漏洞利用工具的制作者可以轻松的利用一个新鲜漏洞赚取数十万甚至更多美金。

当漏洞利用的恶意代码被武器化、漏洞利用工具商品化之后,攻击和破坏的风险会增加。

尽管人们越来越多的认识到安全漏洞的管理和修补是一项很重要的工作,但真正实施的时候却困难重重。因此,任何有助于帮助组织识别漏洞风险的情报,都可以并用来改善公司的流程,使之更加有效和安全。在大多数情况下,暗网和地下社区使这些漏洞利用工具的唯一交易场所,因此洞察这些信息的情报可以显著的提高企业的安全效益。

示例:与CVE-2017-8759相关的情报(多个来源)

CVE-2017-8759是因为微软.NET Framework的一个换行符处理不当导致的远程执行漏洞。该漏洞在9月12日正式被披露。据悉,该漏洞在野外被利用时为0-day状态,漏洞被官方披露后仅仅两天,POC代码就被共享到Github上,暗网的论坛中也可以看到相关的利用工具,七天之内,该漏洞被积极地用于针对阿根廷地区的有针对性的垃圾邮件附件中。由此可见,漏洞利用武器化及商品化的速度极快,相应的风险也随之增加。

招募目标的内部人员

Gartner专门从事信息安全领域的分析师Avivah Litan称:”根据Gartner客户的反馈,暗网中的犯罪分子正在积极的招聘目标组织的内部人员。组织或部门(尤其是金融服务、制药、零售、科技行业和政府机构)中总是会有一些心怀不满的员工,无论是为了获益或/和伤害雇主,这些人乐于跟外部的犯罪分子携手合作,Gartner的客户称,与直接盗取雇主的财务相比,这些心怀鬼胎的员工更希望可以伤害或报复雇主,这是组织内部威胁的一个重要源头。”

犯罪分子发布寻求银行恶意软件的帖子,并声称有银行内部人员配合攻击活动

原帖相关的缓存记录,确保该情报不会丢失或删除。

众所周知,犯罪论坛和暗网中的交易市场促进了各种非法交易的发展。

在暗网中,别有用心的犯罪分子喜欢招募目标组织的内部人员,这样可以让攻击事半功倍。从零售行业、各类金融服务或政府机关,都面临着严重的来自内部威胁的风险。这类交易大部分都是在特别封闭的论坛或站点进行的,需要经过持久的跟踪和广泛的审查,才能获取到有效的情报。对于企业和组织而言,在安全资源有限的情况下,利用外部情报发现此类内部威胁,能够及时的洞悉风险并可能阻止危害的发展。

对暗网情报的收集和分析,为企业和组织了解所面临的风险提供了一个新的视角,也为抵御潜在的威胁提供了一种先发制人的可能性。通过对攻击者技术或战术的分析,企业或组织可以综合权衡并量化风险,并最终确定需要采取什么行动来解决它。

安全建议

MottoIN专注于跟进最新的、有针对性的网络攻击活动,凭借专业的安全团队和先进的技术积累,是企业和组织最好的外部网络安全情报提供商。我们主要提供以下几种安全服务:

  • 及时跟踪国内外最新的APT攻击活动,熟知网络攻击的最新特征,包括攻击者使用的工具、技术和程序,为客户输出有针对性的威胁预警报告;
  • 实时监控地下论坛和暗网中的各类威胁情报,为客户提供专项的数据安全分析报告;
  • 大数据积累,智能预警分析,整合全球范围内活跃的APT组织的相关指标,考虑地缘政治风险和区域内部的各项威胁指标,为客户提供全面的风险评估报告;
  • 提供全面的安全咨询服务,根据客户的需求,提供业内最佳解决方案。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/107438.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code