前言:
勒索軟件即服務Ransomware-as-a-Service (RaaS)是當前全球勒索軟件攻擊勢頭急劇上升的背景下出現(xiàn)一種服務模式���。同其他Saas解決方案類似�����,RaaS模式已經(jīng)成為一種成熟軟件商業(yè)模式�����。RaaS的出現(xiàn)大大降低了勒索攻擊的技術門檻�����,勒索軟件開發(fā)者可以按月或一次性收費提供給潛在用戶(犯罪組織)��。這些犯罪組織����,只需要購買勒索軟件來執(zhí)行勒索攻擊���,獲利后按比例支付贖金給勒索軟件供應商。然而隨著犯罪方式的演變�����,傳統(tǒng)的勒索方式需要犯罪者“親力親為”,即勒索團伙需要自己發(fā)送釣魚郵件或者自己尋找目標系統(tǒng)漏洞來植入勒索軟件�,這樣大大消耗了時間和精力,RaaS組織需要更加直接的“大門”或者中間人去做入侵,于是 Initial Access Brokers(IAB)業(yè)務就變得活躍起來���。
IAB(Initial Access Brokers-初始訪問代理業(yè)務)是指攻擊者通過多種方式獲得的受害者網(wǎng)絡資產(chǎn)初始化訪問權限�����,而后將其出售給犯罪組織實施犯罪的中間人行為��,犯罪組織通常為勒索軟件團伙或其附屬機構���������!俺跏荚L問權限”不僅泛指RDP�����、VPN�、Webshell���、SSH權限這些可以直接進入目標網(wǎng)絡的權限,還有一些未授權訪問的資產(chǎn)����、數(shù)據(jù)庫資產(chǎn)、系統(tǒng)用戶的賬戶權限等���,也包括可利用的企業(yè)系統(tǒng)�����、網(wǎng)絡設備����,如Citrix�、Fortinet、ESXI 和 Pulse Secure的歷史漏洞和權限���。攻擊者可以將這些系統(tǒng)的權限放到黑客論壇售賣�����,有時候還可以多次售賣給不同勒索軟件組織�,這些攻擊者可以和勒索軟件供應商形成供需關系,兩者通過匿名的IM通信�����,最后通過數(shù)字貨幣支付達成交易���。通過黑客論壇,勒索軟件運營商組織可購買IAB后直接植入勒索軟件達成勒索目標�����,可以節(jié)省勒索組織在受害者網(wǎng)絡環(huán)境中入侵的時間和精力以及各種成本���,這樣勒索軟件攻擊者可以將所有時間和精力集中在“改善”勒索軟件有效載荷和與他們的附屬機構協(xié)調(diào)操作上���,同時可以在暗網(wǎng)論壇上指定需要的權限類型與目標行業(yè),IAB的出現(xiàn)為RaaS提供了極大的便利��。
在利益的驅(qū)動下�����,RaaS與IAB的交易越來越密切�����,值得關注的是:根據(jù)Digital Shadows統(tǒng)計,IAB交易的熱點行業(yè)權限top5 為零售行業(yè)���、金融行業(yè)����、科技行業(yè)與工業(yè)制造業(yè)(如醫(yī)藥制造)��,科技行業(yè)的初始訪問代理權限平均價格最高為13,607 美元���。
那么黑客通常是怎樣獲取有效的IAB的呢����?我們結合威脅情報網(wǎng)站ke-la.com分析過IAB的幾個趨勢以及威脅情報網(wǎng)站curatedintel.org提供的資料�,研究分析后歸納出如下圖所示的IAB初始權限獲取路徑圖。
1.以目標漏洞為途徑:攻擊者通過黑客搜索引擎來獲取受害者對外暴露的資產(chǎn)��,之后進行ip探測���,域名探測�,端口開放探測(如RDP端口)以及漏洞掃描�����,類似于紅藍對抗中攻擊隊前期對目標的資產(chǎn)梳理和信息搜集,期間會用到各類黑客搜索引擎如Shodan��、Censys�����,在確定目標資產(chǎn)后進行漏洞掃描�,漏洞掃描過程主要探測是否存在一些知名軟件的歷史CVE漏洞����,相關軟件產(chǎn)品如VPN產(chǎn)品SecureVPN、云桌面常用的Citrix軟件���、虛擬化產(chǎn)品Vmware��、微軟系列的Exchange����、負載均衡設備F5以及路由器設備Cisco等���。黑客一旦探測到相應產(chǎn)品存在的漏洞�����,就發(fā)起攻擊���,攻擊成功后可獲取目標權限����,之后可以進行內(nèi)網(wǎng)橫向��,植入后門等操作����,最終獲取有效的初始訪問權限。具體使用到的漏洞如下圖所示�。圖6- IAB產(chǎn)業(yè)常用CVE漏洞2. 以社會工程學為途徑:在信息竊取活動中主要以獲得目標門戶網(wǎng)站登錄相關的MFA驗證碼(多因子校驗的秘鑰或驗證碼)為主,攻擊方式不限于語音電話釣魚�����、短信釣魚���、近源攻擊���、偽造商業(yè)合作釣魚等一系列社會工程學攻擊�,這些攻擊手段層出不窮��,較為值得關注是電話釣魚��,國外專注于人員安全意識培訓和釣魚模擬攻擊服務的公司Terranova有總結到相關社工策略:“第一種常見的策略是一些網(wǎng)絡犯罪分子使用強硬的語言����,表示他們正在幫助受害者避免刑事指控;第二種常見的策略是犯罪分子留下威脅性的語音郵件���,告訴收件人立即回電,否則受害者可能會被逮捕��,銀行賬戶被關閉����,或者會發(fā)生更糟糕的事情。在網(wǎng)絡犯罪分子使用威脅和令人信服的語言下讓受害者覺得別無選擇��,受害者只能提供犯罪分子想要的信息������!3. 以售賣信息的地下市場為途徑:使用在地下市場上出售的用戶信息獲得訪問權限��,黑客通過著名論壇OGuser購買到關于受害者目標用戶身份的訪問權限后嘗試登錄受害者的相關網(wǎng)站�。4. 以第三方數(shù)據(jù)泄露為途徑:使用來自第三方數(shù)據(jù)泄露的憑證獲取訪問權限����,拿到相關泄露數(shù)據(jù)后,與上述第三種方式不同�����,第三方泄露數(shù)據(jù)需要“二次加工”��,可以通過密碼噴灑�,撞庫攻擊,暴力破解等方式嘗試登錄受害者系統(tǒng)來獲取目標系統(tǒng)訪問權限����。5. 使用網(wǎng)絡釣魚活動獲取訪問權限:以郵件釣魚為主,通過惡意郵件投遞一些惡意軟件����,如RedLine Stealer (RedLine Stealer是一種惡意軟件,該惡意軟件從瀏覽器收集信息����,例如保存的憑據(jù):自動填充的數(shù)據(jù)和***信息等)����,Vidar( Vidar是一種基于Arkei 的分叉惡意軟件)��,Taurus(Taurus是一種基于C/C++實現(xiàn)的信息竊取惡意軟件),LokiBot(也稱為 Lokibot��、Loki PWS和Loki-bot����,使用特洛伊木馬惡意軟件來竊取敏感信息,例如用戶名�、密碼、加密貨幣錢包和其他憑據(jù))等��,這些釣魚方式大部分都是以惡意文檔為載荷,當受害者打開文檔后利用宏去執(zhí)行或下載被加密后的Shellcode����,之后建立C2信道進行長期控制竊取信息����,相關細節(jié)如下圖。Malpedia對這些軟件都有解釋和記錄���,有興趣同學可在Malpedia上查詢�����。黑客在受害者不小心中招了相關惡意軟件后可直接獲得目標的初始訪問代理權限��。6. 以內(nèi)部威脅為途徑:內(nèi)部員工直接就有內(nèi)部IT系統(tǒng)訪問權限����,心懷不軌的員工可以拿公司的權限或數(shù)據(jù)到論壇進行販賣或用于其他意圖。
1. 外部資產(chǎn)安全:攻擊者先通過信息搜集���,通過漏掃工具進行漏洞掃描或者通過第三方泄露數(shù)據(jù)進行撞庫攻擊�����,根據(jù)這些攻擊方式����,企業(yè)外部安全要做到: (1) 及時發(fā)現(xiàn)和修護系統(tǒng)漏洞��,做好系統(tǒng)加固與升級��,做好邊緣資產(chǎn)的收束���,非必要服務與端口不對外開放���。通過“監(jiān)控”第三方網(wǎng)站如Github���,及時查看哪些員工數(shù)據(jù)遭到了泄露,避免有“強弱口令”和無風控機制下的系統(tǒng)出現(xiàn)問題���; (2) 系統(tǒng)與設備上線前要做好安全審計與安全測試���,規(guī)避帶著“問題”上線而遭受黑客攻擊。2. 內(nèi)部安全建設:從攻擊者社工相關攻擊路徑來看�,攻擊者通過攜帶惡意后門,廣撒網(wǎng)方式來進行郵件釣魚����,以及遭受“內(nèi)鬼”的威脅,因此內(nèi)部安全建設要做到:(1)離職人員的賬戶權限要及時清除�����,員工訪問內(nèi)網(wǎng)系統(tǒng)的權限要進行嚴格隔離�,不同層級的網(wǎng)絡也要做好隔離�;(2)對員工做安全意識培訓�,防止員工中招郵件釣魚以及其他社會工程學的攻擊��;(3)日志系統(tǒng)的建設與健全:入侵后可以通過日志及時查漏補缺�;(4)安全設備的安裝盡量覆蓋所有終端,這樣可以抵擋大部分病毒與木馬的威脅����,可以有效防止黑客橫向移動與權限提升等后滲透行為,及時更新病毒庫可以有效防止黑客利用NDay攻擊�����。3. 威脅情報建設:攻擊者通過在各大論壇出售與企業(yè)相關的數(shù)據(jù)與權限����,因此企業(yè)需要做到:(1)及時從外部論壇,威脅情報網(wǎng)站等獲取企業(yè)威脅信息���,做好風險控制�,及時關注最新安全態(tài)勢����;(2)密切關注IAB和三方數(shù)據(jù)泄露的動態(tài),防止數(shù)據(jù)與權限被出售后對企業(yè)形成“二次”傷害��。4. 數(shù)據(jù)備份與容災:如果上述所有防線均被突破,那么平時做好數(shù)據(jù)備份與容災工作��,建立完善的災備機制�����,擁有良好的數(shù)據(jù)權限隔離方案�,可以有效防止業(yè)務系統(tǒng)數(shù)據(jù)被加密后無法解密的尷尬局面出現(xiàn)。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
