售賣攻擊入口的“代理人”:只突破網絡防線不實施下一步動作
責編:gltian |2021-03-01 14:40:50去年,盜竊并售賣RDP憑證行為十分猖獗,網絡罪犯中間商賺得盆滿缽滿的同時,公司企業面臨著來自勒索軟件和其他攻擊的巨大風險。
信息安全公司Digital Shadows稱,此類新興網絡犯罪行為只突破企業網絡防線卻不做其他任何操作,而是將非法訪問入口以約7000美元起的價格賣給其他人。
買賣被盜登錄憑證和其他形式的網絡遠程訪問入口一直是暗網生態系統的一個組成部分,但據Digital Shadows的網絡安全研究人員分析,去年間“初始訪問代理人”的商品清單明顯變長了。
Digital Shadows追蹤了約500個交易被黑網絡非法訪問入口的市場。需澄清的是,此類交易早已有之,現在不過是明顯呈上升趨勢而已。這些代理人黑進網絡后并不靠進一步的網絡行動賺錢,而是作為中間商將網絡入口賣給其他罪犯,從非法訪問交易中牟利。
遠程桌面協議(RDP)訪問是網絡罪犯的最愛,因為利用RDP合法登錄憑證遠程控制計算機不容易引起目標對惡意行為的懷疑,從而使得攻擊者能夠悄悄遠程訪問整個企業網絡。
對被盜憑證的需求,以及被盜憑證可能提供的訪問入口,全都反映在此類商品的價格上了。價格越高,買家能夠染指的機器數量越多,也就加以利用的機會也就越多。
勒索軟件攻擊團伙尤為喜愛這種訪問接入方式,只要發出成千上萬美元的贖金勒索需求,就能賺回數倍于購買訪問入口所支出的金錢:在初始訪問上花個1萬美元真不是什么大事,只要能從目標身上榨出1個比特幣就賺好幾倍了。
Digital Shadows將被盜憑證售賣規模描述為“顯著增長”,有效訪問方式的平均價格已經漲到了7100美元,占Digital Shadows所錄憑證售賣清單的17%。遠程桌面協議(RDP)訪問的價格則漲至高達9800美元,呼應ESET研究發現的2020年RDP訪問嘗試數量增長700%的事實。
在一份簡要聲明中,Digital Shadows首席信息安全官Rick Holland稱:“遠程工作需求的大幅上升,再加上勒索軟件的商業成功,為初始訪問代理人締造了一場完美的機會風暴。”
“需求興盛和自身專業化的精深,讓這些初始訪問代理人日進斗金。他們專注于網絡犯罪生態系統中獲得企業網絡訪問入口的方面,并在這個方面做專做精。”
Digital Shadows威脅研究員Stefano De Blasi向媒體透露:“昂貴的訪問入口反映出目標的品質。例如,具有管理員權限的RDP訪問入口,以及敏感數據訪問入口。”
售賣RDP訪問入口不是什么新鮮事物,但去年的遠程辦公潮下,公司企業突然大量啟用RDP訪問,給網絡罪犯平添了諸多攻擊渠道。
很多情況下,網絡罪犯利用公開可用的工具找出不安全RDP連接相對簡單,充當初始訪問代理人的門檻并不高。而且,RDP使用弱密碼或默認密碼的情況仍然很常見。此外,賣方獲取此類訪問憑證再轉手獲利相當容易。
對售賣RDP憑證的熱門論壇進行分析后發現,教育、醫療保健、技術、工業和電信是最受歡迎的目標行業。涉及這些行業的公司企業可能是勒索軟件攻擊者眼中潛在的肥羊。
網絡罪犯將繼續利用RDP入侵網絡,必要情況下,公司企業應設置各種策略確保遠程訪問安全,這些策略可能簡單到僅僅是應用多因子身份驗證和避免使用容易被猜解的密碼而已。
Blasi稱:“實際上,一次性復雜密碼和IT監控管慣例等保護信息的基本措施能夠有效挫敗大多數表淺攻擊。”
除了RDP,非法訪問Windows域管理員賬戶的平均價格是8167美元,占Digital Shadows所錄犯罪論壇廣告的16%。同樣值得注意的是,盡管價格沒那么高,被盜企業VPN憑證也達到了2871美元的平均單價。
Citrix遠程辦公產品用戶也應提高警惕了。Digital Shadows在其完整報告中警告稱:“勒索軟件團伙Sodinokibi(又名REvil)、Ragnarok、Maze、DoppelPaymer和Nefilim在2020年均利用過Citrix系統漏洞。”
VPN訪問一直是網絡罪犯嘗試盜取有價值信息或分發勒索軟件的熱門戰術,去年年初就出現了一系列針對防護不當的Pulse Secure產品的VPN攻擊。
Digital Shadows簡要聲明:
https://www.digitalshadows.com/press-releases/organizations-at-growing-risk-from-initial-access-brokers-a-fast-growing-class-of-cybercriminal-who-breach-firms-and-then-charge-others-to-do-the-dirty-work/
完整報告:
https://resources.digitalshadows.com/whitepapers-and-reports/initial-access-brokers-report
來源:數世咨詢