在最近IBM發(fā)布的對Fxmsp的綜合報告里，將這個男人稱為“暗網(wǎng)隱形的神”。

• 在暗網(wǎng)活躍3年以上
• 襲擊44個國家
• 入侵135家公司，8.9%為國有企業(yè)
• 僅基于公開拍賣預(yù)估獲利1500000美金

探究Fxmsp如何從新手駭客成為講俄語的地下組織的重量級人物，對于安全研究人員了解網(wǎng)絡(luò)犯罪行業(yè)的發(fā)展、暗網(wǎng)的變化都有一定意義。

初入地下論壇到如魚得水

2016年9月，F(xiàn)xmsp在網(wǎng)絡(luò)犯罪領(lǐng)域邁出了第一步。

當(dāng)時，他在一個地下論壇fuckav [.] ru上完成了注冊。但這時候的他對于”入侵訪問了某一公司后如何將這一訪問權(quán)變現(xiàn)“、”如何保證對于某一公司的長久入侵訪問能力“還一無所知。因此，他在地下論壇四處尋求”同伙“，希望找到自我傳播的持久性加密采礦惡意軟件和其他特洛伊木馬程序，以此來感染公司網(wǎng)絡(luò)。在這一階段，F(xiàn)xmsp給安全研究人員留下了很多把柄。

一般來說，地下論壇上經(jīng)驗(yàn)豐富的駭客從不會發(fā)布自己的聯(lián)系方式，但是當(dāng)時的Fxmsp則大意地在論壇留下了自己的聯(lián)系信息，其中還包括了Jabber帳戶。

2017年初，F(xiàn)xmsp在另外幾個講俄語的論壇上(包括臭名昭著的exploit [.])創(chuàng)建了帳戶，他調(diào)整了活動重點(diǎn)并開始出售對受入侵的公司網(wǎng)絡(luò)的訪問權(quán)限，這些網(wǎng)絡(luò)在后來幾年逐漸成為他的主要業(yè)務(wù)。

2017年10月1日，F(xiàn)xmsp發(fā)布了他的第一則廣告，公開宣傳出售對公司網(wǎng)絡(luò)的訪問權(quán)限，而金融業(yè)的第一位受害者是尼日利亞的一家商業(yè)銀行。后來，他還宣布出售對一家連鎖豪華酒店、一家擁有200億美元資本的非洲銀行的網(wǎng)絡(luò)訪問權(quán)。

在地下論壇里，F(xiàn)xmsp逐漸如魚得水，幾次的成功讓他變得自大。很快，他甚至和其他駭客討論起如何入侵IBM和微軟，并且試圖在俄羅斯出售訪問權(quán)限，比如在2017年10月，他宣傳要出售俄羅斯2個城市的ATM和海關(guān)辦公室的網(wǎng)站訪問權(quán)限。但是，在講俄語的地下論壇有一個不成文的規(guī)矩：not hacking within Russia and CIS countries。于是，F(xiàn)xmsp的行為收到了論壇的禁令。

駭客+銷售經(jīng)理，2人團(tuán)的成立

2018年1月17日，F(xiàn)xmsp有了整整18位買家。

因?yàn)榫W(wǎng)絡(luò)犯罪業(yè)務(wù)發(fā)展得如此之好，以至于他還雇用了昵稱Lampeduza的用戶(又名Antony Moricone、BigPetya、Fivelife、Nikolay、tor )擔(dān)任他的銷售經(jīng)理。

2018年初，銷售經(jīng)理Lampeduza加大推廣他們的”服務(wù)“，甚至在一個論壇帖子中寫道：“……您將可以訪問公司的整個網(wǎng)絡(luò)……您將成為網(wǎng)絡(luò)中的隱形的神……”

在兩人合作期間，宣傳了對62家公司的訪問出售權(quán)，累計總價格達(dá)到1100800美元。

2018年10月下旬，這個2人團(tuán)體受到了打擊，因?yàn)樗麄冊噲D將對同一網(wǎng)絡(luò)的訪問權(quán)出售給幾個不同的買家，名聲受損……此后，開始轉(zhuǎn)向?qū)Ｗ⒂凇八饺虽N售”，即僅與有限的客戶群合作。直到2019年3月中旬，Lampeduza在論壇上復(fù)出，恢復(fù)活動。

一戰(zhàn)成名到退隱

Fxmsp的公開活動在2019年4月達(dá)到高潮。據(jù)悉，他設(shè)法入侵了三個防病毒軟件供應(yīng)商的網(wǎng)絡(luò)，這一事件還登上了頭條新聞。

由于Fxmsp的”一戰(zhàn)成名“，Lampeduza宣告”分手“，否認(rèn)自己也參與了這一次的黑客活動，并且再次從論壇中消失了一段時間，而2019年12月17日，Lampeduza表示Fxmsp已停止其活動。

作為講俄語的地下論壇上的重量級人物，F(xiàn)xmsp公開出售了對于135家公司的訪問權(quán)，獲得了150萬美金的利潤。他的成功甚至刺激了暗網(wǎng)犯罪市場的發(fā)展，引發(fā)了其他駭客的效仿。

而Fxmsp活動的3年，犯罪服務(wù)也在不斷發(fā)生變化：

• 2019年下半年與2017年上半年相比，出售受害企業(yè)的網(wǎng)絡(luò)訪問權(quán)的買家數(shù)量增加了92%
• 在Fxmsp加入之前，買家只提供RDP訪問單獨(dú)的服務(wù)器的權(quán)限并且不考慮持久性問題，而后來，F(xiàn)xmsp將犯罪服務(wù)提升到了一個新的水平，對于受害企業(yè)來說威脅也大大提升。

防范建議

雖然Fxmsp確實(shí)結(jié)束了所有公開業(yè)務(wù)，但他對企業(yè)的威脅仍然是存在的。有鑒于此，向公眾公開有關(guān)Fxmsp TTP的資料并提供建議，對于公司防范Fxmsp和類似網(wǎng)絡(luò)犯罪分子進(jìn)行的攻擊幫助具備一定的幫助。

在大多數(shù)情況下，F(xiàn)xmsp使用一種非常簡單而有效的方法：掃描某些開放端口的IP地址范圍，以識別開放的RDP端口，尤其是3389。然后，對受害服務(wù)器進(jìn)行暴力攻擊，以驗(yàn)證RDP密碼。在獲得對目標(biāo)設(shè)備的訪問權(quán)限之后，通常會禁用現(xiàn)有的防病毒軟件和防火墻，然后創(chuàng)建其他帳戶。接下來，將服務(wù)器上的Meterpreter有效負(fù)載用作后門，獲得訪問權(quán)限后，F(xiàn)xmsp收集所有帳戶的轉(zhuǎn)儲并將其解密。最后，通過安裝后門感染備份。即使受害者注意到系統(tǒng)中有可疑活動，他們也很可能會更改密碼并回滾到已經(jīng)受到威脅的備份。這種方法使他可以保持持久性，并且長時間不被注意。

建議：

• 將默認(rèn)RDP端口3389更改為任何其他端口;
• 限制每個用戶失敗的登錄嘗試次數(shù)，啟用帳戶鎖定策略;
• 不斷監(jiān)視暗網(wǎng)中與公司相關(guān)的數(shù)據(jù)。通過威脅情報解決方案快速識別被盜的記錄并溯源追蹤，通過專用的威脅檢測系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的流量異常。