来自暗网的故事:对犯罪论坛上的访问经纪人进行指纹识别

每一次引人注目的网络入侵都会留下一些线索,而那些监测非法访问经纪人的防御者可以通过这些线索,发现并阻止攻击的发展。
来自暗网的故事:对犯罪论坛上的访问经纪人进行指纹识别

大约一年前,一起勒索软件攻击锁定了亚利桑那州一个小镇的市政系统,导致社区的服务在一个多月内无法使用,应急响应费用高昂,而且市民担心他们的敏感信息被泄露。在这次入侵的消息公开之前的几周,该市的VPN门户访问信息就已经在一个热门的俄罗斯黑客论坛上出售了。警告信号已经存在,如果有人监测非法访问经纪人的活动,可能就能在为时已晚之前发现并报警。

像这样的勒索软件攻击很少是孤立发生的。每一次引人注目的网络入侵都会留下一些线索,让我们了解攻击是如何展开的,以及何时发生的。非法访问经纪人的角色是解决这个信息难题的关键之一。

为什么值得监控访问经纪人

访问经纪人通常位于电子犯罪价值链的起点。他们是专门从事获取和出售受害者网络访问方式的中间人。这些有价值的访问凭证随后在各种地下论坛或暗网市场上向其他网络犯罪分子宣传。

了解访问经纪人访问哪些论坛或地下市场来推销他们的商品,以及要注意什么,是预防勒索软件攻击的关键。Genesis、Russian Market和Exploit Market是一些已知的访问经纪人广告的论坛。一个典型的帖子可能包括位置、行业垂直、IT基础设施利用细节、员工数量、收入和访问经纪人的别名等属性。

这种交接过程,访问经纪人为恶意软件操作者打下基础并出售重要信息,促进了网络攻击。个别攻击组件现在可以更快地变现,而且加入各种地下论坛出售这些组件的犯罪分子面临的障碍复杂度也大大降低了。

不同访问类型的价格根据受害者的谈判意愿以及违规行为的潜在影响而有所不同。例如,根据我们内部的Falcon X Recon威胁情报,一个带有电子邮件凭证的商业财务账户的起价是1200美元,而IT基础设施管理员访问的起价是2万美元。

建立一个可重复和优化的监测访问经纪人的过程,有助于企业和政府机构接收到即将发生的攻击或现有访问利用的相关警告。

优化监测策略的五个步骤

优化的监控策略建立在关于访问经纪人是谁以及他们在哪里运营的威胁情报基础之上。安全防御者可以通过以下五个迭代步骤来巡逻暗网访问经纪人网络:

1. 了解您的资产

2. 辨别恶意行为者

3. 找出已知的市场

4. 编写警报以搜索这些市场的线索

5. 派遣团队成员跟进合法的警告

以下是这些步骤的一些起始点:

步骤1:首先确定需要保护什么。列出您的数字资产和特征,如域名、IP子网、位置细节、ISP、垂直领域、公开身份等,以帮助识别您的基础设施。

步骤2:识别可能针对您的行业部门或资产的访问经纪人。了解他们通常以哪些别名运营以及他们通常出售什么访问信息。在这个领域,已经建立的供应商可以为您提供这些调查的起点。

步骤3:列出您需要监控的暗网论坛和市场清单。了解哪些恶意软件工具最常用于窃取访问数据。了解产品名称,如“redline”或“mystery”窃取器,有助于创建正确的监控流程。

步骤4:威胁情报对于确定优先级并将警报放入上下文中至关重要。将规则系统化并使用所学信息创建警报。将警报导入一个易于可视化的格式,有助于筛选大量警报并帮助您专注于最相关的警报。

步骤5:分配责任。情报团队、身份和访问管理人员、漏洞风险管理人员、SOC分析员和事件响应人员可以使用生成的警报来减轻自定义资产利用,优先处理相关事件并推动调查。这些团队成员还可以随着时间的推移帮助优化关键字,使流程更加专注和相关,并能够应对不断变化的访问经纪人生态系统。

有前景的计划

监测访问经纪人论坛可以提供信息,但企业还需要全面的缓解策略。这种方法可能非常繁琐,需要监测数百个个别的帖子。访问经纪人的帖子通常包含结构化和非结构化数据的混合,这可能使过程变得复杂。还可能需要翻译来监测其他语言的帖子。这些挑战可能解释了为什么不到三分之一的企业在监测访问经纪人。我们今年早些时候在Fal.Con 2021上展示的内部研究表明,大多数项目都不到三年。

忽视暗网论坛上的警告信号是一个错误。跟踪访问经纪人留下的线索是网络安全武器库中的一个重要工具。就泄露的访问信息而言,火可能已经点燃,但爆炸还没有发生。使用优化的监测策略,安全防御者不仅可以发现暴露的组织威胁风险,还可以优先考虑访问利用中的缓解措施,并削弱——如果不是完全阻止——勒索软件的入侵。

推荐阅读:

研究人员获取并分析了10万个网络犯罪论坛的数据

ss、ssr、v2ray链接解析

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20