背景
自工業(yè)革命以來,企業(yè)一直在追求更為精簡的流程,以最大限度降低成本,提高生產(chǎn)率和利潤。當(dāng)然,這對于犯罪組織而言亦是如此。如今,自動化已經(jīng)成為幾乎所有行業(yè)必不可缺的組成部分。在網(wǎng)絡(luò)安全領(lǐng)域,自動化的重要性尤為突出。隨著可用數(shù)據(jù)的量級增長,使數(shù)據(jù)收集、處理和關(guān)聯(lián)過程實現(xiàn)自動化,已經(jīng)成為跟上威脅形勢的必備條件。不幸的是,網(wǎng)絡(luò)犯罪組織同樣能夠從自動化技術(shù)中獲利。
過去,犯罪分子可能需要花費數(shù)周甚至數(shù)月的時間,來開發(fā)、測試和實施惡意軟件,而現(xiàn)在這一切已經(jīng)能夠“開箱即用”。這就導(dǎo)致即便是那些菜鳥攻擊者也可以毫不費力地參與和執(zhí)行惡意活動。如今,威脅行為者可能不再需要“入侵”目標(biāo)企業(yè)來獲取最初的立足點,相反地,他們可以輕松地從惡意軟件供應(yīng)商處購買目標(biāo)企業(yè)的訪問權(quán)限,而無需花費大量時間手動分析這些數(shù)據(jù)庫。
除此之外,威脅行為者還可以租用加載程序和加密程序,以幫助分發(fā)和混淆其惡意軟件。他們可以從各種注入或疊加中進行選擇,以滲透到網(wǎng)站并收集重要的登錄信息或財務(wù)信息?;蛘撸麄円部梢宰庥矛F(xiàn)成的漏洞利用工具包,這些工具包已經(jīng)打包好了所需的漏洞利用工具,只需要將選擇的竊密器加載到受感染的設(shè)備上,就能夠輕松收集所需的信息。
為了確保犯罪企業(yè)平穩(wěn)運行,威脅行為者還可以選擇“防彈”托管以及代理服務(wù)等等。為了將收集的信息最大程度貨幣化,而不甘于賺些塊錢或做“錢騾”,他們還可以將信息出售給眾多地下商店和自動化市場,如此實現(xiàn)循環(huán)往復(fù)。
可以說,地下經(jīng)濟中已經(jīng)衍生出了涉及各層面的非常專業(yè)的服務(wù)和產(chǎn)品,網(wǎng)絡(luò)犯罪活動也逐步實現(xiàn)了自動化和商品化。為了更為有效地應(yīng)對這場戰(zhàn)役,防御者必須以最新的信息武裝自己。近日,網(wǎng)絡(luò)安全公司Recorded Future分析了來自威脅情報平臺、開放源情報源和公共報告的數(shù)據(jù),概括出了網(wǎng)絡(luò)犯罪分子最常用的10種自動化攻擊工具和服務(wù),并且還對每種工具近期的攻擊動態(tài)、頂級供應(yīng)商以及緩解措施進行了簡要概述。
1. 數(shù)據(jù)庫泄露和銷售工具
許多網(wǎng)絡(luò)攻擊最初都始于從受損網(wǎng)絡(luò)中獲取到的憑據(jù)數(shù)據(jù)庫,這些信息如今都在暗網(wǎng)論壇中出售或拍賣。甚至在某些情況下,這些數(shù)據(jù)庫還在Pastebin等平臺上免費發(fā)布。數(shù)據(jù)庫破壞,是威脅行為者對網(wǎng)絡(luò)進行未經(jīng)授權(quán)訪問的結(jié)果,訪問本身可以為威脅行為者提供諸如特權(quán)提升和數(shù)據(jù)泄露之類的向量載體。此外,勒索軟件運營商也可以使用該訪問來加密受感染的網(wǎng)絡(luò);而黑客則可以利用釣魚郵件來滲漏包含個人身份信息(PII)、個人健康信息(PHI)、公司文檔、電子郵件地址、員工信息、社交媒體配置文件等信息在內(nèi)的數(shù)據(jù)庫。
通常來說,所有這些惡意事件都可以歸類為數(shù)據(jù)庫破壞或泄露的類別。
統(tǒng)計數(shù)據(jù)表明,數(shù)據(jù)庫泄露的數(shù)量每年都在增加。根據(jù)Norton的數(shù)據(jù)顯示,2019年有3,800項公開披露的違規(guī)行為,暴露了41億條記錄。在暗網(wǎng)中,威脅參與者之間可以出售或共享數(shù)據(jù)庫漏洞,攻擊者可以使用這些數(shù)據(jù)庫中使用最頻繁的用戶名和密碼組合來針對流行的在線服務(wù)和站點進行憑據(jù)填充攻擊。
出售受害企業(yè)組織、政府、教育以及其他實體的網(wǎng)絡(luò)訪問權(quán)限可能是暗網(wǎng)上最賺錢的生意之一,其銷售價格從幾百美元到數(shù)十萬美元不等。通常來說,網(wǎng)絡(luò)訪問權(quán)限是通過拍賣形式在暗網(wǎng)上出售的,在此過程中,論壇成員爭相競價,或者簡單地通過固定價格進行直接銷售。據(jù)悉,其中最熱門的數(shù)據(jù)大多來自醫(yī)療機構(gòu)、保險公司、律師事務(wù)所、制造業(yè)、航空(航空公司和機場)、教育、政府(州和市政府、警察局、地區(qū)醫(yī)療機構(gòu)、選舉委員會)、電子商業(yè)和金融組織。
出售和分享數(shù)據(jù)庫的知名威脅行為者
Xrenovi4:一個俄語和英語論壇,自2017年以來一直在運營cit0day[.]——一家致力于出售泄露的電子郵件數(shù)據(jù)庫的在線商店。
Teamkelvinsecteam:也叫KelvinSecTeam,運營一項基于訂閱的服務(wù),用于從其網(wǎng)站kelvinsecurity [.com.cn]上銷售黑客工具、惡意軟件和泄漏的數(shù)據(jù)庫。在其網(wǎng)站上,他們還提供了種類繁多的泄露數(shù)據(jù)庫,這些數(shù)據(jù)庫主要與電子商務(wù)、電信以及受感染的暗網(wǎng)論壇有關(guān)。
Omnipotent:運營著官方收藏的300多個數(shù)據(jù)庫,每個論壇成員都可以付費使用。
Streetskip:也稱“network”,出售針對多家美國和國際公司網(wǎng)絡(luò)的訪問權(quán)限。
bc.monster:出售針對美國和國際組織網(wǎng)絡(luò)的訪問權(quán)限,以及PII和被盜文件。
B.Wanted:主要出售針對美國政府組織和執(zhí)法機構(gòu)網(wǎng)絡(luò)的訪問權(quán)限。
Lalartu:俄語論壇,主要出售針對執(zhí)法機構(gòu)和律師事務(wù)所網(wǎng)絡(luò)的訪問權(quán)限
Ellisdouglas,出售針對美國和國際政府實體以及俄羅斯、烏克蘭、巴西和德國各種組織網(wǎng)絡(luò)的管理員訪問權(quán)限。
緩解措施
Insikt集團建議,企業(yè)組織可以采取以下措施來阻止利用網(wǎng)絡(luò)漏洞所導(dǎo)致的數(shù)據(jù)庫泄露事件:
· 確保所有軟件和應(yīng)用程序保持最新狀態(tài);特別是操作系統(tǒng),防病毒軟件,應(yīng)用程序和核心系統(tǒng)實用程序;
· 過濾電子郵件中的垃圾郵件并仔細檢查鏈接和附件,確保開啟了惡意軟件監(jiān)測程序;
· 定期備份系統(tǒng)并離線存儲備份;
· 嚴(yán)格區(qū)分公司敏感數(shù)據(jù),尤其要查看有權(quán)訪問員工帳戶或設(shè)備的任何人都可以訪問哪些數(shù)據(jù)(例如,通過網(wǎng)絡(luò)釣魚通過設(shè)備或帳戶接管)。驗證用戶的訪問控制,并確保員工具有訪問資源的業(yè)務(wù)需求;
· 建立基于角色的訪問,限制公司范圍內(nèi)的數(shù)據(jù)訪問以及針對敏感數(shù)據(jù)的訪問;
· 監(jiān)視供應(yīng)商的安全狀態(tài),或評估使用第三方技術(shù)可能導(dǎo)致的風(fēng)險;
· 對存儲的數(shù)據(jù)庫應(yīng)用數(shù)據(jù)加密標(biāo)準(zhǔn),以防止能夠未經(jīng)授權(quán)訪問組織內(nèi)部網(wǎng)絡(luò)的個人將其用于惡意目的;
監(jiān)控員工帳戶的可用數(shù)據(jù)庫。
除此之外,商業(yè)電子郵件欺詐(BEC)也是與數(shù)據(jù)庫漏洞和針對網(wǎng)絡(luò)的訪問密切相關(guān)的一種手段。這種方法通常采用社會工程和網(wǎng)絡(luò)釣魚技術(shù),并試圖通過受損的電子郵件賬戶偽裝成企業(yè)合法雇員或管理人員,來危害企業(yè)。這種攻擊行為的最終目標(biāo)是竊取目標(biāo)企業(yè)的機密信息或?qū)①Y金轉(zhuǎn)移到犯罪分子控制的賬戶之中。
根據(jù)FBI互聯(lián)網(wǎng)犯罪投訴中心(IC3)提供的數(shù)據(jù)顯示,BEC騙局正在持續(xù)增長,并且瞄準(zhǔn)了各種規(guī)模的企業(yè)。自2015年1月以來,已識別的曝光損失增長了1300%,現(xiàn)在總損失已超過30億美元。
緩解措施
FBI建議,采取以下步驟可以降低BEC攻擊所帶來的危害:
· 創(chuàng)建入侵檢測系統(tǒng)規(guī)則,以標(biāo)記擴展名類似于公司電子郵件的郵件;
· 創(chuàng)建電子郵件規(guī)則以標(biāo)記“答復(fù)”電子郵件地址與所示的“發(fā)件人”電子郵件地址不同的電子郵件通信;
· 在主題中使用顏色編碼和前置標(biāo)簽區(qū)分電子郵件,這將有助于識別來自員工/內(nèi)部帳戶的電子郵件和來自非員工或外部帳戶的電子郵件;
· 通過SMS或身份驗證器應(yīng)用程序(例如Google Authenticator、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator)啟用多因素身份驗證(MFA),以安全地訪問設(shè)備;
· 將電話驗證作為多因素身份驗證的一部分,以確認資金轉(zhuǎn)賬請求;驗證其他來源的號碼,例如公司網(wǎng)站或以前的賬單或信件,而不是電子郵件請求中提供的號碼。
2. 檢查器和暴力破解工具
攻擊者通過數(shù)據(jù)泄露攻擊獲得賬戶后,可利用檢查器和暴力破解器來發(fā)起大規(guī)模的自動登錄請求,以檢驗受害者賬戶的有效性,或通過對數(shù)千個帳戶的憑據(jù)填充攻擊來獲得未經(jīng)授權(quán)的訪問。這種類型的攻擊也稱為“憑據(jù)填充攻擊”。
根據(jù)Recorded Future發(fā)布的《憑證填充攻擊的經(jīng)濟性》報告顯示,只需投入550美元,犯罪分子就可以通過出售被盜登錄憑據(jù)獲得至少20倍的利潤。Akamai報告稱,在過去的18個月中,它發(fā)現(xiàn)了超過35億起針對金融機構(gòu)的憑證填充請求。
檢查器(Checkers)是網(wǎng)絡(luò)犯罪分子使用的自動化工具(腳本或軟件),用于根據(jù)網(wǎng)站的登錄系統(tǒng)檢查用戶ID和密碼組合的有效性。檢查員可以使用網(wǎng)站的主頁、移動應(yīng)用程序或應(yīng)用程序界面(API)功能來識別有效帳戶。
暴力破解是自動密碼破解工具,也可以用于發(fā)現(xiàn)Web應(yīng)用程序中的隱藏頁面和內(nèi)容。網(wǎng)絡(luò)犯罪分子可以使用暴力手段通過自動服務(wù)器請求來訪問機密信息和用戶帳戶。自動化的暴力破解工具,例如Brutus、Medusa、THC Hydra、Ncrack、John Ripper和Rainbow,可以幫助攻擊者迅速猜測出特定用戶或站點的密碼。從數(shù)據(jù)轉(zhuǎn)儲中獲得的部分信息(諸如用戶名等)還使攻擊者更容易使用暴力破解來獲取密碼。
檢查器和暴力破解工具使網(wǎng)絡(luò)犯罪分子可以自動進行攻擊偵察階段,并獲取用戶其他詳細信息(例如可用地址、電子郵件和支付卡詳細信息)或訪問目標(biāo)賬戶。在“網(wǎng)絡(luò)殺傷鏈”模型中,偵察是網(wǎng)絡(luò)攻擊者用來收集有關(guān)其預(yù)定目標(biāo)信息的第一步。
研究顯示,如果受害者在多個在線平臺上重復(fù)使用相同的登錄信息,則這種攻擊發(fā)生的概率會更大。根據(jù)南加州大學(xué)的研究指出,“密碼重用的現(xiàn)象非常普遍,98%的用戶存在重用密碼現(xiàn)象,其主要原因在于對風(fēng)險的認識不足以及將易于記憶置于安全性之上。”
近期重大事件
2020年1月,TechCrunch報道了印度航空公司SpiceJet的一次違規(guī)事件,影響了120萬人次。據(jù)報道,通過使用系統(tǒng)容易猜到的密碼,可以暴力破解并訪問SpiceJet內(nèi)部系統(tǒng)。
2020年1月,亞馬遜旗下智能相機制造商Ring面臨一項訴訟,據(jù)稱,犯罪分子使用一系列普通密碼來強行闖入一位用戶的Ring攝像頭帳戶。
2019年7月,美國銀行和保險公司State Farm表示,其遭受了憑證填充攻擊,在此期間,惡意行為者能夠確認State Farm在線帳戶的有效用戶名和密碼。
知名的檢查器和暴力破解工具
在暗網(wǎng)中,網(wǎng)絡(luò)犯罪分子能夠利用到的自動化、自定義和“開箱即用”的工具可謂成千上萬。STORM、Black Bullet Account Cracker和Sentry MBA之類的工具支持無限數(shù)量的自定義插件,這就等于為犯罪分子提供了針對幾乎所有網(wǎng)上零售業(yè)務(wù)并實現(xiàn)賬戶接管的能力。暗網(wǎng)中銷售的其他工具還包括多合一檢查器、Starjieu郵件檢查器、Private Keeper、SNIPR、WOXY郵件檢查器、Slayer Leecher和Kerbrute。還有一些針對單個公司(例如Netflix、Facebook、Instagram或Spotify)的鮮為人知的工具。
這些自動化工具可以幫助攻擊者使用受損的用戶名和密碼,攻擊包括銀行、電子商務(wù)、會員或獎勵計劃、社交媒體和加密貨幣錢包在內(nèi)的一系列帳戶。一旦攻擊者獲得對帳戶的訪問權(quán)限,他們就會嘗試耗盡可用資金,獎勵積分,竊取個人和財務(wù)詳細信息(例如信用卡數(shù)據(jù)),或者進行欺詐或身份盜用。
知名的檢查器和暴力破解工具賣家
Bruteguru:是暴力破解和帳戶檢查器工具“Guru Brute B&C”的供應(yīng)商,該工具主要針對流行的CMS面板,例如Magento、WordPress、Drupal、Joomla、OpenCart、Bitrix24、cPanel、WHM和WooCommerce:以及其他服務(wù),例如FTP,SSH和MySQL。
SaNX:主要出售可用于暴力破解帳戶的API漏洞,并生成模擬官方程序登錄的必要令牌。 據(jù)觀察,該賣家為大約30家公司提供了“私有API”。
Getsend:主要提供開發(fā)檢查器和暴力破解工具方面的服務(wù)。
緩解措施
· 提高用戶對每個帳戶使用唯一密碼的意識。密碼管理器將幫助最終用戶生成、存儲和檢索唯一且復(fù)雜的密碼;
· 在登錄過程中要求提供其他詳細信息(例如,CAPTCHA或用戶的姓氏),以在自動憑據(jù)填充攻擊中破壞攻擊者的編程邏輯;
· 啟用多因素身份驗證(MFA);
· 部署定制的Web應(yīng)用程序防火墻規(guī)則,特別注意異常的標(biāo)頭順序和用戶代理,以及檢查有效的引薦來源;
· 限制登錄流量和頻次以阻止攻擊者。例如,在一定數(shù)量的失敗登錄嘗試后鎖定賬戶,或者在服務(wù)器對登錄請求的響應(yīng)中引入延遲;
· 刪除未使用的面向公眾的登錄路徑,并加強對移動設(shè)備和API登錄路徑的控制;
· 為流量和網(wǎng)絡(luò)請求建立基準(zhǔn),以監(jiān)視意外流量。
3. 加載程序和加密程序
一旦威脅行為者確定了目標(biāo),他們的下一步通常就是將惡意負載(例如惡意軟件)傳遞到目標(biāo)系統(tǒng)或設(shè)備中。由于許多目標(biāo)系統(tǒng)或設(shè)備受到防病毒軟件的某種程度的保護,這些軟件可能會識別、標(biāo)記或阻止惡意有效負載,因此威脅行為者通常會在初始感染過程中使用特殊工具(例如加載程序和加密程序)作為初始感染的一部分,來避免被端點安全產(chǎn)品(例如防病毒軟件)檢測到,然后下載并執(zhí)行一個或多個惡意有效載荷(例如惡意軟件)。
加載程序
加載程序通常包含一組有限的功能集。它們通常負責(zé)調(diào)查受害者的計算機,使用命令和控制(C2)服務(wù)器進行檢入,然后下載并執(zhí)行更高級的惡意軟件。此過程的確切細節(jié)因加載程序而異,但最基本的加載程序可能會將最終的有效內(nèi)容保存到受害者的文件系統(tǒng)中,然后將其作為新進程運行。最先進的加載程序會將下載的有效負載完全保留在內(nèi)存中,并使用諸如“process hollowing”或反射DLL注入之類的過程注入技術(shù)來執(zhí)行它。通過將有效負載保存在內(nèi)存中,加載程序會減少安全產(chǎn)品檢測最終有效負載的機會。
知名的加載程序
· Amadey:威脅行為者InCrease出售的一種加載程序,具有基本的上傳、下載和自動運行功能,售價600美元;
· DiamondFox:威脅行為者edbitss出售的一款多功能加載程序,具有可選的自定義模塊,例如RAM抓取工具、勒索軟件、cryptojacker和一些竊取器功能,包括瀏覽器密碼和cookie抓取。DiamondFox基本版本的價格低至600美元,而所有附加模塊的價格高達2700美元。
· Buer Loader:威脅行為者memeos出售的一款基礎(chǔ)版加載程序,可以作為DLL或EXE文件執(zhí)行,檢測沙箱環(huán)境,以用戶權(quán)限運行以及可以選擇要感染的國家和操作系統(tǒng)。售價400美元,可為買家提供終身免費的技術(shù)支持、更新和錯誤修復(fù)服務(wù)。
· Smoke Bot:威脅行為者SmokeLdr出售的一款多功能加載程序,具有可選的自定義模塊,例如表單獲取器,密碼竊取程序和DDoS功能?;景姹镜腟moke Bot成本低至400美元,而所有附加模塊的成本高達2,450美元。
加密程序和非分布式掃描程序
對于參與傳播惡意軟件的威脅參與者而言,加密程序和非分布式掃描程序是兩項基本服務(wù)。加密服務(wù)用于加密和混淆惡意軟件有效載荷,以避免被防病毒軟件檢測到。加密程序的某些功能包括:壓縮可執(zhí)行文件以減小可交付內(nèi)容的大小,通過虛擬機檢測逃避沙箱,并偽裝成普通軟件。然后,可使用非分布式掃描程序來檢查是否有加密的惡意軟件被任何防病毒軟件檢測到。
隨著攻擊面的持續(xù)增加,越來越多的威脅行為者正在使用創(chuàng)新的攻擊媒介來部署新的惡意軟件變體。一些威脅行為者不具備專業(yè)的技術(shù)知識,這就需要更多技術(shù)威脅行為者的專業(yè)知識來幫助部署惡意軟件。因此,加密程序開發(fā)者可以創(chuàng)建旨在供技術(shù)水平各異的威脅行為者使用的產(chǎn)品。這些加密程序通常是用戶友好型的,并提供了一個簡單的界面,其中包括配置所有選項的GUI,包括加密方法、密鑰以及有效載荷注入的位置等等。一旦威脅行為者選擇了加密程序并上傳了必要的信息,加密程序就會將惡意有效載荷加密為有效的編程代碼;隨后,威脅行為者就可以通過網(wǎng)絡(luò)釣魚或垃圾郵件向受害者提供該程序;程序執(zhí)行后,加密程序會自行解密并釋放惡意負載。
知名的加密程序和非分布式服務(wù)
Kerens:運行非分布式服務(wù)avcheck[.]net和加密服務(wù)crypt[.]guru;
p1t:運行加密服務(wù)KleenScan;
Dyncheck:運行非分布式服務(wù)Dynamic Runtime Antivirus Check。
緩解措施
· 鑒于有大量的定制加密工具(以及教程和操作指南)可以通過開源和加密工具開發(fā)者輕松地向公眾公開,而加密工具的開發(fā)者將繼續(xù)生產(chǎn)具有增強功能的加密工具來擊敗防病毒措施,因此需要定期更新防病毒軟件;
· 部署除防病毒之外的其他響應(yīng)和檢測控制措施,以檢測惡意負載,例如網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)、端點監(jiān)視、netflow收集、主機日志記錄和Web代理,以及人工監(jiān)視檢測源;
· 對網(wǎng)絡(luò)釣魚和相關(guān)風(fēng)險進行培訓(xùn)和教育,因為這是部署惡意軟件的切入口。
4. 竊密程序和鍵盤記錄器
竊密器是網(wǎng)絡(luò)犯罪分子中另一種流行的工具,用于從受害者處竊取敏感信息。這些惡意軟件通常被預(yù)先配置為“從流行的在線服務(wù)、電子郵件客戶端和文件管理軟件以及其他有價值的資產(chǎn)(如加密貨幣錢包)中竊取各種各樣的登錄憑據(jù)”。竊密器的創(chuàng)建者通常會不斷提供軟件更新和客戶支持服務(wù),以確保惡意軟件能夠正常運行。這種類型的惡意軟件實質(zhì)上就像遠程訪問木馬一樣,它使攻擊者能夠遠程交互并控制受感染的計算機或蜂窩設(shè)備。
知名的竊密程序
Raccoon Stealer:由黑客組織raccoonstealer出售,是暗網(wǎng)最受歡迎的竊密程序之一,可以竊取電子郵件、密碼、信用卡數(shù)據(jù)和加密貨幣錢包以及系統(tǒng)信息。該盜密程序在俄語論壇上大肆宣傳,并被認為是由俄語威脅者控制的。
KPOT:以從受害者主機的網(wǎng)絡(luò)瀏覽器、即時通訊程序、電子郵件、加密貨幣和VPN中竊取數(shù)據(jù)而聞名。該程序由黑客組織“MonsterCat”開發(fā)和銷售,其實際是一種可配置的遠程訪問木馬,能夠從各種系統(tǒng)應(yīng)用程序中竊取憑據(jù),包括VPN、電子郵件、RDP、加密貨幣錢包、FTP和社交媒體應(yīng)用程序。
Predator the Thie:由威脅行為者Alexuiop1337創(chuàng)建,可以從Edge、基于Chromium和基于Gecko的瀏覽器中竊取Cookie、用戶名和密碼。Predator可以從FTP客戶端、聊天應(yīng)用程序、VPN客戶端或加密貨幣錢包中竊取登錄憑據(jù),還可以收集受害者系統(tǒng)信息。
AZORult:是一種信息竊密工具,可以從多個軟件應(yīng)用程序中竊取憑據(jù),從桌面枚舉和竊取文件,從瀏覽器捕獲保存的數(shù)據(jù)(包括cookie、密碼和已保存的信用卡信息),竊取Skype登錄憑據(jù)以及竊取加密貨幣錢包信息。
緩解措施
· 投資提供補丁狀態(tài)報告的解決方案,這種類型的解決方案可以洞悉已收到補救措施的漏洞以及已收到這些補丁的計算機;
· 配置入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)或任何可用的網(wǎng)絡(luò)防御機制,以警告設(shè)備上發(fā)生的任何惡意活動;
· 監(jiān)視文件驅(qū)動器和注冊表的可疑更改。
5. 銀行web 注入
銀行web 注入是執(zhí)行欺詐行為的一種流行且功能強大的工具,并且在暗網(wǎng)中廣為流傳。這些工具或模塊可以與銀行木馬一起使用,在用戶被重定向到合法網(wǎng)站之前,通過注入HTML或JavaScript代碼收集敏感信息,例如支付卡數(shù)據(jù)、社會安全號碼、PIN、信用卡驗證碼或其他任何PII。
銀行web 注入是瀏覽器中間人攻擊(Man-in-the-Browser,MitB)的一部分,其中,銀行木馬可以通過執(zhí)行API hooking實時修改合法銀行頁面的內(nèi)容。這些修改后的受損內(nèi)容位于Web注入配置文件中,該文件通常托管在遠程命令和控制(C2)服務(wù)器上,并下載到受感染的計算機或設(shè)備上。攻擊者可以自動更新服務(wù)器和受感染機器上的配置文件。網(wǎng)絡(luò)罪犯分子還會加密和混淆配置文件,以逃避防病毒軟件的檢測,并使分析更加困難。
分析表明,銀行web 注入目前已與多個銀行木馬集成在一起,既可以破壞用戶的銀行帳戶,也可以使用自動轉(zhuǎn)帳系統(tǒng)(ATS)來自動竊取資金。這些銀行木馬包括Cerberus、Anubis、Mazar、ExoBot和Loki Bot。一些Web注入還可以成功繞過雙因素身份驗證(2FA)。而與銀行木馬集成的Web注入還具有控制面板,并且可以完全控制用戶計算機。
針對暗網(wǎng)市場的分析表明,一些銀行web 注入開發(fā)者針對不同受眾分別提供了“現(xiàn)貨供應(yīng)型”注入以及為每個客戶量身打造的“定制型”注入。這些產(chǎn)品的價格普遍較高,可能高達1000美元,平均價格為150-250美元。
知名威脅行為者
Validolik:該威脅參與者是多個頂級俄語論壇的成員,是Android web注入的領(lǐng)先開發(fā)商之一;
Pw0ned:地下犯罪論壇上的一位俄羅斯黑客,是銀行web注入以及流行社交媒體(如Instagram和VKontakte)和電子郵件服務(wù)提供商(如Gmail,AOL和Yandex)偽造頁面開發(fā)者;
Kaktys1010:多個頂級俄語論壇的成員,是Windows和Android web注入以及具有/不具有SMS /令牌攔截功能的偽造頁面的開發(fā)人員。該威脅行為者運營洋蔥網(wǎng)站KTS,銷售上述產(chǎn)品。
緩解措施
· 使軟件和應(yīng)用程序保持最新狀態(tài),特別是操作系統(tǒng)、防病毒軟件、應(yīng)用程序和核心系統(tǒng)實用程序;
· 在所有設(shè)備上安裝防病毒解決方案,安排更新并監(jiān)視防病毒狀態(tài);
· 通過SMS或Google、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator等身份驗證程序啟用MFA多因素認證;
· 僅使用HTTPS連接web服務(wù);
· 教育員工并進行安全意識培訓(xùn);
· 部署垃圾郵件過濾器,以檢測病毒、空白發(fā)件人等;
· 部署Web過濾器,以阻止惡意網(wǎng)站;
· 加密公司所有敏感信息;
· 禁用HTML或?qū)TML電子郵件轉(zhuǎn)換為純文本電子郵件;
· 僅從可信來源下載應(yīng)用程序和文件;
· 使用密碼管理器。大多數(shù)銀行木馬都可以記錄擊鍵信息,通過使用密碼管理器填寫密碼,您可以避免物理上輸入憑據(jù);
· 將您計算機上銀行的登錄屏幕與其他人的相同登錄屏幕進行比較,以確保他們的外觀相同。
6. 漏洞利用工具包(EK)
漏洞利用工具包用于自動利用Web瀏覽器漏洞,以最大程度地傳播感染,并提供諸如木馬、裝載程序、勒索軟件和其他惡意軟件之類的惡意負載。Insikt集團在過去幾年中觀察到的常見漏洞利用工具包包括FalloutEK和RIG EK。
不過,研究發(fā)現(xiàn),新的漏洞利用工具包的創(chuàng)建數(shù)量有所下降。除此之外,在過去的幾年中,網(wǎng)絡(luò)犯罪分子的偏好也從針對Adobe漏洞的漏洞利用工具包轉(zhuǎn)向了Microsoft消費產(chǎn)品漏洞利用工具包。2017年,排名前10的漏洞利用工具包中有7款是針對Microsoft產(chǎn)品開發(fā)的,這與之前的排名(2015年、2016年)形成了鮮明對比,之前一直在利用Adobe Flash漏洞。
緩解措施
· 優(yōu)先修補技術(shù)產(chǎn)品中微軟產(chǎn)品和較舊漏洞的補??;
· 確保在瀏覽器設(shè)置中自動禁用Adobe Flash Player,此外,由于Adobe將于2020年12月31日終止對Flash Player的支持,因此不建議下載或繼續(xù)使用此產(chǎn)品;
· 不要忘記修補較舊的漏洞——漏洞平均可以存活近7年;
· 開展并長期堅持網(wǎng)絡(luò)釣魚安全意識培訓(xùn),這可以包含用戶培訓(xùn),以教育用戶不要輕易點擊可疑鏈接或附件。
7. 垃圾和釣魚郵件
垃圾郵件和網(wǎng)絡(luò)釣魚郵件(包括魚叉式網(wǎng)絡(luò)釣魚)通常結(jié)伴出現(xiàn),但實際上,它們是兩種非常不同的手段。
垃圾郵件
發(fā)布垃圾郵件的威脅行為者通常會以“廣撒網(wǎng)”的方式,不加選擇地瞄準(zhǔn)成千上萬個受害者。垃圾郵件主題通常涉及在線藥房、色情、約會、賭博、快速致富計劃等,內(nèi)含惡作劇、惡意鏈接以及病毒等等。
垃圾郵件發(fā)送者通??梢酝ㄟ^以下方法獲取電子郵件信息:
· 使用自動化軟件生成地址;
· 誘使人們在欺詐性網(wǎng)站上輸入其詳細信息;
· 入侵合法網(wǎng)站以收集用戶的詳細信息;
· 從其他垃圾郵件發(fā)送者處購買電子郵件列表;
· 誘使人們點擊進入冒充垃圾郵件取消服務(wù)的欺詐網(wǎng)站;
· 抄送行中的名稱/地址,或已轉(zhuǎn)發(fā)的電子郵件正文中未刪除先前參與者的名稱/地址。
從事垃圾郵件活動的威脅行為者
588771:是一個俄語犯罪組織,他們專門提供針對SMS、電子郵件、Skype、Telegram和社交網(wǎng)絡(luò)的專業(yè)垃圾郵件服務(wù)。據(jù)悉,588771組織的服務(wù)價格已經(jīng)從最初的1,000條SMS消息/美元起,飆升到了現(xiàn)在的10,000條SMS消息1,000美元,有英語和俄語兩種版本。
Stone:同樣也是一個俄語犯罪組織,正在以2000美元的價格出售垃圾電子郵件機器人。stone聲稱,這些機器人可以隨機化電子郵件主題、文本以及附件名稱等等。
緩解措施
· 避免公開發(fā)布您的電子郵件地址,包括在社交媒體上;
· 不要回復(fù)垃圾郵件,那樣只會證明你的電子郵箱賬戶有效;
· 下載安裝額外的垃圾郵件過濾工具和防病毒軟件;
· 在線注冊時避免使用個人或公司電子郵件地址。
網(wǎng)絡(luò)釣魚電子郵件
網(wǎng)絡(luò)釣魚通常與垃圾郵件類似,犯罪分子會向數(shù)以千計的受害者發(fā)送電子郵件。但是,網(wǎng)絡(luò)釣魚攻擊經(jīng)常使用社社會工程手段,將自身偽裝成來自受信任或其他合法實體的電子郵件。
其中,直接發(fā)送給特定受害者的電子郵件,特別是給杰出人物的電子郵件,被稱為“魚叉式釣魚”。魚叉式釣魚不太可能出自自動化工具,因為這種類型的郵件通常是針對特定目標(biāo)量身定制的個性化電子郵件。網(wǎng)絡(luò)釣魚電子郵件一般會偽裝成從銀行、信用卡公司、在線商店和拍賣網(wǎng)站以及其他受信任的組織發(fā)送的。他們通常試圖誘使受害者進入該網(wǎng)站,例如要求受害者更新密碼以避免帳戶被暫停,或是要求受害者下載附件中的重要文檔。電子郵件本身的嵌入式鏈接指向的網(wǎng)站看上去與真實的網(wǎng)站完全一樣,但實際上是一個偽造的網(wǎng)站,旨在誘騙受害者輸入個人信息或下載惡意文件。
對于網(wǎng)絡(luò)犯罪分子而言,網(wǎng)絡(luò)釣魚依然是其進行社會工程攻擊、部署惡意軟件并獲取對目標(biāo)企業(yè)進一步訪問權(quán)限的最受歡迎的攻擊媒介之一。
網(wǎng)絡(luò)釣魚活動惡意行為者
Poseidon:是一個英語語言犯罪組織,專門從事創(chuàng)建和銷售網(wǎng)絡(luò)釣魚工具、財務(wù)欺詐文檔和方法,以及有關(guān)進行欺詐活動的入門指南等。此外,Poseidon還能夠?qū)W(wǎng)站進行DDoS攻擊,并且精通圖形設(shè)計,該威脅組織曾利用圖形設(shè)計能力偽造加拿大身份證件并創(chuàng)建針對金融機構(gòu)的網(wǎng)絡(luò)釣魚頁面。
Frod:是一個俄語犯罪組織,除了分發(fā)垃圾郵件、惡意軟件、僵尸網(wǎng)絡(luò)和欺騙活動外,他們還為網(wǎng)絡(luò)釣魚活動宣傳“防彈”托管服務(wù)。frod主機的價格在75-200美元之間,具體取決于買方的要求。
緩解措施
· 對員工進行教育,并進行網(wǎng)絡(luò)釣魚模擬;
· 部署垃圾郵件過濾器,用于檢測網(wǎng)絡(luò)釣魚的跡象;
· 使用最新的安全補丁程序和更新使所有系統(tǒng)保持最新;
· 制定密碼安全策略;
· 部署Web過濾器以阻止惡意網(wǎng)站;要求所有員工(尤其是遠程工作人員)落實加密措施,包括全盤加密(例如256位AES)和通過SSL或TLS的網(wǎng)絡(luò)加密。
8. “防彈”托管服務(wù)(BPHS)
為了延長犯罪企業(yè)的壽命,威脅行為者會利用代理和防彈托管服務(wù)(BPHS)來掩蓋其活動并組織其被執(zhí)法機構(gòu)抓捕。BPHS與“常規(guī)”的網(wǎng)絡(luò)托管服務(wù)提供商提供的服務(wù)之間最大的區(qū)別之一是,它們依靠一種模型保證向惡意內(nèi)容和活動提供匿名安全托管,并承諾不會因司法請求而中斷犯罪活動或?qū)е鹿粽弑徊丁?/p>
知名賣家/服務(wù)
EliteVPS:是一家托管公司,至少從2017年2月開始就一直在地下論壇上積極宣傳其服務(wù)。和其他同類服務(wù)不同的是,與它們業(yè)務(wù)相關(guān)的服務(wù)條款聲稱,將禁止發(fā)布與暴力侵害兒童和動物有關(guān)的數(shù)據(jù)。Yalishanda:是一名地下黑市威脅行為者,自2018年12月以來就一直在Exploit和其他多個俄語論壇上做過托管服務(wù)的廣告。其使用FastFlux技術(shù),且擁有自己的代理服務(wù)器,該代理服務(wù)器依賴KVM和XEN虛擬化。(*關(guān)于FastFlux——在正常的DNS服務(wù)器中,用戶對同一個域名做DNS查詢,在較長的一段時間內(nèi),無論查詢多少次返回的結(jié)果基本上是不會改變的。Fast-flux技術(shù)是指不斷改變域名和IP地址映射關(guān)系的一種技術(shù),也就是說在短時間內(nèi)查詢使用Fast-flux技術(shù)部署的域名,會得到不同的結(jié)果。)
緩解措施
· 利用威脅情報平臺來協(xié)助監(jiān)視惡意服務(wù)提供商;
· 將與惡意BPHS關(guān)聯(lián)的服務(wù)器列入黑名單。
9. 信用卡嗅探器
在暗網(wǎng)經(jīng)濟中,嗅探器(Sniffer)指的是一種用JavaScript編寫的惡意軟件,旨在從電子商務(wù)網(wǎng)站的支付頁面滲透并竊取無卡交易(CNP)數(shù)據(jù)。然后,可以使用此CNP數(shù)據(jù)(稱為“CVV”)在線購買有價和/或高需求的商品以進行轉(zhuǎn)售。 一旦威脅行為者確定了可被嗅探器利用的漏洞,他們便注入惡意JavaScript,該JavaScript能夠自動捕獲訪問受感染站點的所有客戶的數(shù)據(jù),從而自動收集眾多支付卡和顧客個人信息。然后,嗅探器將已泄露的數(shù)據(jù)轉(zhuǎn)發(fā)給威脅參與者的C2,以供進一步利用。
知名的嗅探器開發(fā)商和供應(yīng)商
Sochi:該威脅行為者是JavaScript嗅探器“Inter”和Android木馬“ Red Alert”的創(chuàng)建者。Inter的部分屬性包括,竊取CNP付款數(shù)據(jù),不干擾或斷開SSL連接,檢測付款形式和卡類型,逃避防病毒軟件檢測。Poter:該威脅行為者是俄語語言者,根據(jù)廣告宣傳,其嗅探器能夠在打開瀏覽器時重置活動,在檢索到新的受損數(shù)據(jù)時進行更新,并自動搜索受到破壞的商店。
Billar:該威脅行為者是俄語語言者,專門為嗅探器變體“mr.SNIFFA”宣傳,并對其進行持續(xù)開發(fā)利用。Roshen:該威脅行為者是俄語語言者,自2018年8月以來一直在Exploit上廣告不知名但定制的嗅探器。據(jù)稱,該嗅探器能夠提供添加/刪除用戶,限制某些用戶,格式化導(dǎo)出數(shù)據(jù)以及數(shù)據(jù)的地圖視圖等服務(wù)。
緩解措施
· 對網(wǎng)站進行定期審核,以識別可疑腳本或網(wǎng)絡(luò)行為;
· 防止任何不必要的外部腳本加載到支付頁面上;
· 評估電子商務(wù)網(wǎng)站上的第三方插件并監(jiān)視其代碼或行為的更改。
自動化網(wǎng)絡(luò)黑市
網(wǎng)絡(luò)犯罪分子面臨的最大挑戰(zhàn)之一,一直是如何將他們獲取的內(nèi)容貨幣化。最初,許多交易是當(dāng)面進行,或是在論壇和死人聊天服務(wù)上進行的。但是隨著盜竊規(guī)模的逐漸擴大,攻擊者便開始通過在線信用卡商店、帳戶商店和暗網(wǎng)市場中出售被盜數(shù)據(jù)。如此一來,負責(zé)盜竊的攻擊者不用再擔(dān)心找不到買家的情況,他們可以直接將偷來的內(nèi)容出售給黑市,一次性獲取銷售利潤。
反過來,像Slilpp、Joker’s Stash和Genesis Store這樣的市場也使其他人更容易進入地下經(jīng)濟。在Joker’s Stash這樣的商店中,個人不再需要掌握信用卡欺詐的技術(shù)技能。犯罪分子可以按照商店提供的簡單說明下載插件,存入幾百美元,購買幾張信用卡,然后開始進行在線購買。在某些情況下,甚至可以在同一家商店中獲得持卡人的PII,這使得進行欺詐交易變得更加容易。
一些商店還會出售威脅行為者獲取到的各種賬戶的憑據(jù),包括銀行帳戶、手機帳戶、在線商店賬戶、約會帳戶以及其他各種有助于實施在線欺詐的賬戶。此外,威脅參與者甚至可以獲取受感染系統(tǒng)的“數(shù)字指紋”,以幫助他們偽裝成受害者設(shè)備,從而繞過合法公司實施的反欺詐措施。
還需要注意的一點是,一些商店不僅為受客戶端訪問的域出售憑證,而且還為受侵害的系統(tǒng)和設(shè)備的企業(yè)域和VPN出售憑證。這可能尤為危險,因為更復(fù)雜的威脅參與者可以使用從員工那里獲得的憑據(jù)來訪問企業(yè)內(nèi)部系統(tǒng)和網(wǎng)絡(luò),以執(zhí)行社會工程、商業(yè)電子郵件欺詐,訪問升級和其他類型的攻擊。
緩解措施
商店,市場的類型以及要出售的帳戶種類繁多,因此很難提出“一刀切”的緩解策略。不過,至少可以采取下述策略進行緩解:
· 監(jiān)視商店和市場中與您企業(yè)相關(guān)的帳戶;
· 對商店中可用帳戶數(shù)量激增做出及時反應(yīng),因為這可能表明威脅行為者已違反或?qū)嵤┝诵碌腡TP;
· 留意面向非公開域的賬戶泄露,因為它可用于促進進一步的違規(guī)行為;
· 通過SMS或Google身份驗證器、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator等身份驗證器應(yīng)用程序啟用MFA。