扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
背景
成都创新互联公司自2013年创立以来,先为威海等服务建站,威海等地企业,进行企业商务咨询服务。为威海企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。自工业革命以来,企业一直在追求更为精简的流程,以大限度降低成本,提高生产率和利润。当然,这对于犯罪组织而言亦是如此。如今,自动化已经成为几乎所有行业必不可缺的组成部分。在网络安全领域,自动化的重要性尤为突出。随着可用数据的量级增长,使数据收集、处理和关联过程实现自动化,已经成为跟上威胁形势的必备条件。不幸的是,网络犯罪组织同样能够从自动化技术中获利。
过去,犯罪分子可能需要花费数周甚至数月的时间,来开发、测试和实施恶意软件,而现在这一切已经能够“开箱即用”。这就导致即便是那些菜鸟攻击者也可以毫不费力地参与和执行恶意活动。如今,威胁行为者可能不再需要“入侵”目标企业来获取最初的立足点,相反地,他们可以轻松地从恶意软件供应商处购买目标企业的访问权限,而无需花费大量时间手动分析这些数据库。
除此之外,威胁行为者还可以租用加载程序和加密程序,以帮助分发和混淆其恶意软件。他们可以从各种注入或叠加中进行选择,以渗透到网站并收集重要的登录信息或财务信息。或者,他们也可以租用现成的漏洞利用工具包,这些工具包已经打包好了所需的漏洞利用工具,只需要将选择的窃密器加载到受感染的设备上,就能够轻松收集所需的信息。
为了确保犯罪企业平稳运行,威胁行为者还可以选择“防弹”托管以及代理服务等等。为了将收集的信息大程度货币化,而不甘于赚些块钱或做“钱骡”,他们还可以将信息出售给众多地下商店和自动化市场,如此实现循环往复。
可以说,地下经济中已经衍生出了涉及各层面的非常专业的服务和产品,网络犯罪活动也逐步实现了自动化和商品化。为了更为有效地应对这场战役,防御者必须以最新的信息武装自己。近日,网络安全公司Recorded Future分析了来自威胁情报平台、开放源情报源和公共报告的数据,概括出了网络犯罪分子最常用的10种自动化攻击工具和服务,并且还对每种工具近期的攻击动态、顶级供应商以及缓解措施进行了简要概述。
1. 数据库泄露和销售工具
许多网络攻击最初都始于从受损网络中获取到的凭据数据库,这些信息如今都在暗网中出售或拍卖。甚至在某些情况下,这些数据库还在Pastebin等平台上免费发布。数据库破坏,是威胁行为者对网络进行未经授权访问的结果,访问本身可以为威胁行为者提供诸如特权提升和数据泄露之类的向量载体。此外,勒索软件运营商也可以使用该访问来加密受感染的网络;而黑客则可以利用钓鱼邮件来渗漏包含个人身份信息(PII)、个人健康信息(PHI)、公司文档、电子邮件地址、员工信息、社交媒体配置文件等信息在内的数据库。
通常来说,所有这些恶意事件都可以归类为数据库破坏或泄露的类别。
统计数据表明,数据库泄露的数量每年都在增加。根据Norton的数据显示,2019年有3,800项公开披露的违规行为,暴露了41亿条记录。在暗网中,威胁参与者之间可以出售或共享数据库漏洞,攻击者可以使用这些数据库中使用最频繁的用户名和密码组合来针对流行的在线服务和站点进行凭据填充攻击。
出售受害企业组织、政府、教育以及其他实体的网络访问权限可能是暗网上最赚钱的生意之一,其销售价格从几百美元到数十万美元不等。通常来说,网络访问权限是通过拍卖形式在暗网上出售的,在此过程中,成员争相竞价,或者简单地通过固定价格进行直接销售。据悉,其中最热门的数据大多来自医疗机构、保险公司、律师事务所、制造业、航空(航空公司和机场)、教育、政府(州和市政府、警察局、地区医疗机构、选举委员会)、电子商业和金融组织。
(1) 出售和分享数据库的知名威胁行为者
(2) 缓解措施
Insikt集团建议,企业组织可以采取以下措施来阻止利用网络漏洞所导致的数据库泄露事件:
除此之外,商业电子邮件欺诈(BEC)也是与数据库漏洞和针对网络的访问密切相关的一种手段。这种方法通常采用社会工程和网络钓鱼技术,并试图通过受损的电子邮件账户伪装成企业合法雇员或管理人员,来危害企业。这种攻击行为的最终目标是窃取目标企业的机密信息或将资金转移到犯罪分子控制的账户之中。
根据FBI互联网犯罪投诉中心(IC3)提供的数据显示,BEC骗局正在持续增长,并且瞄准了各种规模的企业。自2015年1月以来,已识别的曝光损失增长了1300%,现在总损失已超过30亿美元。
(3) 缓解措施
FBI建议,采取以下步骤可以降低BEC攻击所带来的危害:
2. 检查器和暴力破解工具
攻击者通过数据泄露攻击获得账户后,可利用检查器和暴力破解器来发起大规模的自动登录请求,以检验受害者账户的有效性,或通过对数千个帐户的凭据填充攻击来获得未经授权的访问。这种类型的攻击也称为“凭据填充攻击”。
根据Recorded Future发布的《凭证填充攻击的经济性》报告显示,只需投入550美元,犯罪分子就可以通过出售被盗登录凭据获得至少20倍的利润。Akamai报告称,在过去的18个月中,它发现了超过35亿起针对金融机构的凭证填充请求。
检查器(Checkers)是网络犯罪分子使用的自动化工具(脚本或软件),用于根据网站制作的登录系统检查用户ID和密码组合的有效性。检查员可以使用网站的主页、移动应用程序或应用程序界面(API)功能来识别有效帐户。
暴力破解是自动密码破解工具,也可以用于发现Web应用程序中的隐藏页面和内容。网络犯罪分子可以使用暴力手段通过自动服务器请求来访问机密信息和用户帐户。自动化的暴力破解工具,例如Brutus、Medusa、THC Hydra、Ncrack、John Ripper和Rainbow,可以帮助攻击者迅速猜测出特定用户或站点的密码。从数据转储中获得的部分信息(诸如用户名等)还使攻击者更容易使用暴力破解来获取密码。
检查器和暴力破解工具使网络犯罪分子可以自动进行攻击侦察阶段,并获取用户其他详细信息(例如可用地址、电子邮件和支付卡详细信息)或访问目标账户。在“网络杀伤链”模型中,侦察是网络攻击者用来收集有关其预定目标信息的第一步。
研究显示,如果受害者在多个在线平台上重复使用相同的登录信息,则这种攻击发生的概率会更大。根据南加州大学的研究指出,“密码重用的现象非常普遍,98%的用户存在重用密码现象,其主要原因在于对风险的认识不足以及将易于记忆置于安全性之上。”
(1) 近期重大事件
(2) 知名的检查器和暴力破解工具
在暗网中,网络犯罪分子能够利用到的自动化、自定义和“开箱即用”的工具可谓成千上万。STORM、Black Bullet Account Cracker和Sentry MBA之类的工具支持无限数量的自定义插件,这就等于为犯罪分子提供了针对几乎所有网上零售业务并实现账户接管的能力。暗网中销售的其他工具还包括多合一检查器、Starjieu邮件检查器、Private Keeper、SNIPR、WOXY邮件检查器、Slayer Leecher和Kerbrute。还有一些针对单个公司(例如Netflix、Facebook、Instagram或Spotify)的鲜为人知的工具。
这些自动化工具可以帮助攻击者使用受损的用户名和密码,攻击包括银行、电子商务、会员或奖励计划、社交媒体和加密货币钱包在内的一系列帐户。一旦攻击者获得对帐户的访问权限,他们就会尝试耗尽可用资金,奖励积分,窃取个人和财务详细信息(例如信用卡数据),或者进行欺诈或身份盗用。
(3) 知名的检查器和暴力破解工具卖家
(4) 缓解措施
3. 加载程序和加密程序
一旦威胁行为者确定了目标,他们的下一步通常就是将恶意负载(例如恶意软件)传递到目标系统或设备中。由于许多目标系统或设备受到防病毒软件的某种程度的保护,这些软件可能会识别、标记或阻止恶意有效负载,因此威胁行为者通常会在初始感染过程中使用特殊工具(例如加载程序和加密程序)作为初始感染的一部分,来避免被端点安全产品(例如防病毒软件)检测到,然后下载并执行一个或多个恶意有效载荷(例如恶意软件)。
(1) 加载程序
加载程序通常包含一组有限的功能集。它们通常负责调查受害者的计算机,使用命令和控制(C2)服务器进行检入,然后下载并执行更高级的恶意软件。此过程的确切细节因加载程序而异,但最基本的加载程序可能会将最终的有效内容保存到受害者的文件系统中,然后将其作为新进程运行成都网站制作。最先进的加载程序会将下载的有效负载完全保留在内存中,并使用诸如“process hollowing”或反射DLL注入之类的过程注入技术来执行它。通过将有效负载保存在内存中,加载程序会减少安全产品检测最终有效负载的机会。
(2) 知名的加载程序
(3) 加密程序和非分布式扫描程序
对于参与传播恶意软件的威胁参与者而言,加密程序和非分布式扫描程序是两项基本服务。加密服务用于加密和混淆恶意软件有效载荷,以避免被防病毒软件检测到。加密程序的某些功能包括:压缩可执行文件以减小可交付内容的大小,通过虚拟机检测逃避沙箱,并伪装成普通软件。然后,可使用非分布式扫描程序来检查是否有加密的恶意软件被任何防病毒软件检测到。
随着攻击面的持续增加,越来越多的威胁行为者正在使用创新的攻击媒介来部署新的恶意软件变体。一些威胁行为者不具备专业的技术知识,这就需要更多技术威胁行为者的专业知识来帮助部署恶意软件。因此,加密程序开发者可以创建旨在供技术水平各异的威胁行为者使用的产品。这些加密程序通常是用户友好型的,并提供了一个简单的界面,其中包括配置所有选项的GUI,包括加密方法、密钥以及有效载荷注入的位置等等。一旦威胁行为者选择了加密程序并上传了必要的信息,加密程序就会将恶意有效载荷加密为有效的编程代码;随后,威胁行为者就可以通过网络钓鱼或垃圾邮件向受害者提供该程序;程序执行后,加密程序会自行解密并释放恶意负载。
(4) 知名的加密程序和非分布式服务
(5) 缓解措施
4. 窃密程序和键盘记录器
窃密器是网络犯罪分子中另一种流行的工具,用于从受害者处窃取敏感信息。这些恶意软件通常被预先配置为“从流行的在线服务、电子邮件客户端和文件管理软件以及其他有价值的资产(如加密货币钱包)中窃取各种各样的登录凭据”。窃密器的创建者通常会不断提供软件更新和客户支持服务,以确保恶意软件能够正常运行。这种类型的恶意软件实质上就像远程访问一样,它使攻击者能够远程交互并控制受感染的计算机或蜂窝设备。
(1) 知名的窃密程序
(2) 缓解措施
5. 银行web 注入
银行web 注入是执行欺诈行为的一种流行且功能强大的工具,并且在暗网中广为流传。这些工具或模块可以与银行一起使用,在用户被重定向到合法网站之前,通过注入HTML或JavaScript代码收集敏感信息,例如支付卡数据、社会安全号码、PIN、信用卡验证码或其他任何PII。
银行web 注入是浏览器中间人攻击(Man-in-the-Browser,MitB)的一部分,其中,银行可以通过执行API hooking实时修改合法银行页面的内容。这些修改后的受损内容位于Web注入配置文件中,该文件通常托管在远程命令和控制(C2)服务器上,并下载到受感染的计算机或设备上。攻击者可以自动更新服务器和受感染机器上的配置文件。网络罪犯分子还会加密和混淆配置文件,以逃避防病毒软件的检测,并使分析更加困难。
分析表明,银行web 注入目前已与多个银行集成在一起,既可以破坏用户的银行帐户,也可以使用自动转帐系统(ATS)来自动窃取资金。这些银行马包括Cerberus、Anubis、Mazar、ExoBot和Loki Bot。一些Web注入还可以成功绕过双因素身份验证(2FA)。而与银行木集成的Web注入还具有控制面板,并且可以完全控制用户计算机。
针对暗网市场的分析表明,一些银行web 注入开发者针对不同受众分别提供了“现货供应型”注入以及为每个客户量身打造的“定制型”注入。这些产品的价格普遍较高,可能高达1000美元,平均价格为150-250美元。
(1) 知名威胁行为者
Validolik:该威胁参与者是多个顶级俄语论 坛的成员,是Android web注入的领先开发商之一;
Pw0ned:地下犯罪论 坛上的一位俄罗斯黑客,是银行web注入以及流行社交媒体(如Instagram和VKontakte)和电子邮件服务提供商(如Gmail,AOL和Yandex)伪造页面开发者;
Kaktys1010:多个顶级俄语论 坛的成员,是Windows和Android web注入以及具有/不具有SMS /令牌拦截功能的伪造页面的开发人员。该威胁行为者运营洋葱网站KTS,销售上述产品。
(2) 缓解措施
6. 漏洞利用工具包(EK)
漏洞利用工具包用于自动利用Web浏览器漏洞,以大程度地传播感染,并提供诸如马、装载程序、勒索软件和其他恶意软件之类的恶意负载。Insikt集团在过去几年中观察到的常见漏洞利用工具包包括FalloutEK和RIG EK。
不过,研究发现,新的漏洞利用工具包的创建数量有所下降。除此之外,在过去的几年中,网络犯罪分子的偏好也从针对Adobe漏洞的漏洞利用工具包转向了Microsoft消费产品漏洞利用工具包。2017年,排名前10的漏洞利用工具包中有7款是针对Microsoft产品开发的,这与之前的排名(2015年、2016年)形成了鲜明对比,之前一直在利用Adobe Flash漏洞。
缓解措施:
7. 垃圾和钓鱼邮件
垃圾邮件和网络钓鱼邮件(包括鱼叉式网络钓鱼)通常结伴出现,但实际上,它们是两种非常不同的手段。
(1) 垃圾邮件
发布垃圾邮件的威胁行为者通常会以“广撒网”的方式,不加选择地瞄准成千上万个受害者。垃圾邮件主题通常涉及在线药、约会、快速致富计划等,内含恶作剧、恶意链接以及病毒等等。
垃圾邮件发送者通常可以通过以下方法获取电子邮件信息:
(2) 从事垃圾邮件活动的威胁行为者
588771:是一个俄语犯罪组织,他们专门提供针对SMS、电子邮件、Skype、Telegram和社交网络的专业垃圾邮件服务。据悉,588771组织的服务价格已经从最初的1,000条SMS消息/美元起,飙升到了现在的10,000条SMS消息1,000美元,有英语和俄语两种版本。
Stone:同样也是一个俄语犯罪组织,正在以2000美元的价格出售垃圾电子邮件机器人。stone声称,这些机器人可以随机化电子邮件主题、文本以及附件名称等等。
(3) 缓解措施
(4) 网络钓鱼电子邮件
网络钓鱼通常与垃圾邮件类似,犯罪分子会向数以千计的受害者发送电子邮件。但是,网络钓鱼攻击经常使用社社会工程手段,将自身伪装成来自受信任或其他合法实体的电子邮件。
其中,直接发送给特定受害者的电子邮件,特别是给杰出人物的电子邮件,被称为“鱼叉式钓鱼”。鱼叉式钓鱼不太可能出自自动化工具,因为这种类型的邮件通常是针对特定目标量身定制的个性化电子邮件。网络钓鱼电子邮件一般会伪装成从银行、信用卡公司、在线商店和拍卖网站以及其他受信任的组织发送的。他们通常试图诱使受害者进入该网站,例如要求受害者更新密码以避免帐户被暂停,或是要求受害者下载附件中的重要文档。电子邮件本身的嵌入式链接指向的网站看上去与真实的网站完全一样,但实际上是一个伪造的网站,旨在诱骗受害者输入个人信息或下载恶意文件。
对于网络犯罪分子而言,网络钓鱼依然是其进行社会工程攻击、部署恶意软件并获取对目标企业进一步访问权限的最受欢迎的攻击媒介之一。
(5) 网络钓鱼活动恶意行为者
Poseidon:是一个英语语言犯罪组织,专门从事创建和销售网络钓鱼工具、财务欺诈文档和方法,以及有关进行欺诈活动的入门指南等。此外,Poseidon还能够对网站进行DDoS攻击,并且精通图形设计,该威胁组织曾利用图形设计能力伪造加拿大身份证件并创建针对金融机构的网络钓鱼页面。
Frod:是一个俄语犯罪组织,除了分发垃圾邮件、恶意软件、僵尸网络和欺骗活动外,他们还为网络钓鱼活动宣传“防弹”托管服务。frod主机的价格在75-200美元之间,具体取决于买方的要求。
(6) 缓解措施
8. “防弹”托管服务(BPHS)
为了延长犯罪企业的寿命,威胁行为者会利用代理和防弹托管服务(BPHS)来掩盖其活动并组织其被执法机构抓捕。BPHS与“常规”的网络托管服务提供商提供的服务之间大的区别之一是,它们依靠一种模型保证向恶意内容和活动提供匿名安全托管,并承诺不会因司法请求而中断犯罪活动或导致攻击者被捕。
(1) 知名卖家/服务
EliteVPS:是一家托管公司,至少从2017年2月开始就一直在地下论 坛上积极宣传其服务。和其他同类服务不同的是,与它们业务相关的服务条款声称,将禁止发布与暴力侵害儿童和动物有关的数据。Yalishanda:是一名地下黑市威胁行为者,自2018年12月以来就一直在Exploit和其他多个俄语论 坛上做过托管服务的广告。其使用FastFlux技术,且拥有自己的代理服务器,该代理服务器依赖KVM和XEN虚拟化。(*关于FastFlux——在正常的DNS服务器中,用户对同一个域名做DNS查询,在较长的一段时间内,无论查询多少次返回的结果基本上是不会改变的。Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术,也就是说在短时间内查询使用Fast-flux技术部署的域名,会得到不同的结果。)
(2) 缓解措施
9. 信用卡嗅探器
在暗网经济中,嗅探器(Sniffer)指的是一种用JavaScript编写的恶意软件,旨在从电子商务网站的支付页面渗透并窃取无卡交易(CNP)数据。然后,可以使用此CNP数据(称为“CVV”)在线购买有价和/或高需求的商品以进行转售。 一旦威胁行为者确定了可被嗅探器利用的漏洞,他们便注入恶意JavaScript,该JavaScript能够自动捕获访问受感染站点的所有客户的数据,从而自动收集众多支付卡和顾客个人信息。然后,嗅探器将已泄露的数据转发给威胁参与者的C2,以供进一步利用。
(1) 知名的嗅探器开发商和供应商
(2) 缓解措施
(3) 自动化网络黑市
网络犯罪分子面临的大挑战之一,一直是如何将他们获取的内容货币化成都网站制作。最初,许多交易是当面进行,或是在论 坛和死人聊天服务上进行的。但是随着盗窃规模的逐渐扩大,攻击者便开始通过在线信用卡商店、帐户商店和暗网市场中出售被盗数据。如此一来,负责盗窃的攻击者不用再担心找不到买家的情况,他们可以直接将偷来的内容出售给黑市,一次性获取销售利润。
反过来,像Slilpp、Joker’s Stash和Genesis Store这样的市场也使其他人更容易进入地下经济。在Joker’s Stash这样的商店中,个人不再需要掌握信用卡欺诈的技术技能。犯罪分子可以按照商店提供的简单说明下载插件,存入几百美元,购买几张信用卡,然后开始进行在线购买。在某些情况下,甚至可以在同一家商店中获得持卡人的PII,这使得进行欺诈交易变得更加容易。
一些商店还会出售威胁行为者获取到的各种账户的凭据,包括银行帐户、手机帐户、在线商店账户、约会帐户以及其他各种有助于实施在线欺诈的账户。此外,威胁参与者甚至可以获取受感染系统的“数字指纹”,以帮助他们伪装成受害者设备,从而绕过合法公司实施的反欺诈措施。
还需要注意的一点是,一些商店不仅为受客户端访问的域出售凭证,而且还为受侵害的系统和设备的企业域和VPN出售凭证。这可能尤为危险,因为更复杂的威胁参与者可以使用从员工那里获得的凭据来访问企业内部系统和网络,以执行社会工程、商业电子邮件欺诈,访问升级和其他类型的攻击。
(4) 缓解措施
商店,市场的类型以及要出售的帐户种类繁多,因此很难提出“一刀切”的缓解策略。不过,至少可以采取下述策略进行缓解:
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流