[[420919]]

近日，網(wǎng)絡(luò)安全公司Kela發(fā)布了一份探索初始訪問代理(Initial access brokers，簡稱IAB)市場的研究報告，結(jié)果發(fā)現(xiàn)訪問被黑網(wǎng)絡(luò)的平均成本為5400美元。

近年來，勒索軟件即服務(wù)(RaaS)團體對初始訪問代理非常感興趣，因為通過直接雇用他們或向他們支付訪問目標系統(tǒng)的費用，能夠節(jié)省很多在目標網(wǎng)絡(luò)中獲取立足點所需的時間、精力和費用。

初始訪問代理是指通過多種方式獲取對受害者網(wǎng)絡(luò)初始訪問權(quán)限的個人或團體。他們最慣用的手段就是通過暴力訪問脆弱的遠程桌面協(xié)議(RDP)或遠程管理軟件。有時候，攻擊者還會利用系統(tǒng)中未修補的漏洞。不過，無論采用哪種方法，一旦成功獲得訪問權(quán)限，這些代理人就可以將其轉(zhuǎn)售給其他人，有時還不止轉(zhuǎn)售一次。

對于網(wǎng)絡(luò)犯罪分子來說，購買現(xiàn)成的企業(yè)網(wǎng)絡(luò)訪問權(quán)限的優(yōu)勢顯而易見：購買者無需花時間嘗試識別受害者并獲得其遠程訪問權(quán)限，而是可以直接從選項菜單中根據(jù)收入、國家和部門挑選受害者，以及挑選需要的遠程訪問類型。

正如網(wǎng)絡(luò)安全公司CrowdStrike所言，當犯罪惡意軟件運營商購買訪問權(quán)限時，他們節(jié)省了很多識別目標和獲取其訪問權(quán)限的時間，從而有能夠的精力和財力去更多、更快地部署攻擊活動，以實現(xiàn)更高的貨幣化潛力。

特別是對于使用勒索軟件的犯罪分子來說，購買訪問權(quán)限的費用可能只是獲取贖金的一小部分，但是卻幫他們省去了入侵受害者網(wǎng)絡(luò)所需的大量時間和精力。安全專家表示，從事大型狩獵活動————摧毀大型目標以尋求更大的贖金——的犯罪團伙會尤為依賴初始訪問代理來選擇目標和獲取權(quán)限。

近年來，隨著使用機密鎖定惡意軟件攻擊者的需求日漸增大，初始訪問代理的商業(yè)模式也不斷完善。那么，初始訪問市場的現(xiàn)狀究竟如何?以色列威脅情報公司Kela審查了過去一年在可公開訪問的網(wǎng)絡(luò)犯罪論壇上出售的1,000個訪問列表，據(jù)稱其中至少有262個被確認為“已出售”狀態(tài)。

根據(jù)這些訪問列表，Kela發(fā)現(xiàn)了初始訪問代理領(lǐng)域的10個關(guān)鍵趨勢：

1. 訪問費用經(jīng)濟實惠

Kela報告稱，在2020年7月1日至2021年6月30日期間，遠程訪問網(wǎng)絡(luò)的平均價格為5,400 美元，而中位數(shù)價格為1,000美元。

訪問權(quán)限平均售價為5,400美元，而受害者最近支付的贖金平均為137,000 美元

而根據(jù)勒索軟件響應(yīng)公司Coveware的數(shù)據(jù)顯示，今年第二季度受害者支付的平均贖金高達137,000美元。對比可見，直接購買訪問權(quán)限對于犯罪分子而言確實是經(jīng)濟快捷的選擇。

2. 遠程桌面協(xié)議(RDP)和虛擬網(wǎng)絡(luò)憑據(jù)受沖擊嚴重

遠程桌面協(xié)議和虛擬網(wǎng)絡(luò)憑據(jù)是初始訪問代理提供的最常見的訪問類型。但除此之外，他們也提供其他類型的訪問——例如，通過遠程管理軟件，許多托管服務(wù)提供商會將其安裝在他們?yōu)榭蛻艄芾淼亩它c上。

買方出售遠程監(jiān)控和管理軟件的訪問權(quán)限

一些攻擊者還會提供對特定類型環(huán)境的訪問權(quán)限。例如，VMWare的ESXi服務(wù)器最近在勒索軟件攻擊者中就非常流行。

買家購買VMWare的ESXi服務(wù)器root訪問權(quán)限

事實上，REvil(又名Sodinokibi)、DarkSide以及現(xiàn)在的BlackMatter都構(gòu)建了能夠加密鎖定運行ESXi服務(wù)器的Linux設(shè)備的惡意軟件，以便可以掌握他們的數(shù)據(jù)以索取贖金。

3. 活動目錄(Active Directory)憑據(jù)：超值之選

Kela在報告中指出，初始訪問代理提供的最有價值的產(chǎn)品包括域管理員權(quán)限。試想一下，一旦擁有了對Microsoft Active Directory的域管理員訪問權(quán)限，也就意味著你可以使用IT工具將加密鎖定惡意軟件分發(fā)到組織內(nèi)的每個端點。一次強行加密更多系統(tǒng)可能會增加受害者支付贖金以換取解密工具承諾的機會。

4. 首要攻擊：美國組織

Kela發(fā)現(xiàn)，調(diào)查列表中的遠程訪問憑據(jù)數(shù)量最多的是美國，占據(jù)整個列表的28%，其次是法國、英國、澳大利亞、加拿大、意大利、巴西、西班牙、德國和阿拉伯聯(lián)合酋長國。

5. 重點受災(zāi)行業(yè)：制造行業(yè)

調(diào)查發(fā)現(xiàn)，列表所涉組織中最多來自制造行業(yè)，其次是教育、IT、金融服務(wù)、政府和醫(yī)療保健。這些代理不僅會出售對大型企業(yè)的訪問權(quán)限，小公司也不例外，只是售價要明顯便宜很多，通常為100-200美元。

6. 通常專盯一位買家推銷

一些代理會列出他們出售的訪問權(quán)限的樣本，并告訴買家聯(lián)系他們以獲取更多詳細信息。

單個買家尋求大量訪問權(quán)限的兩個帖子，包括“來自一級國家/地區(qū)的70個Citrix訪問權(quán)限”(左)和Active Directory管理員級別的訪問權(quán)限(右)

這些代理通常傾向于讓一個買家購買其所有正在出售的訪問權(quán)限，如果攻擊成功，他們有時甚至?xí)螳@取一定比例的贖金。

7. 多種貨幣化策略

一些網(wǎng)絡(luò)訪問代理似乎不僅出售訪問權(quán)限，還會出售來自受害者環(huán)境的數(shù)據(jù)。例如，去年年底，一位代理就曾以4,000 美元的價格出售了巴基斯坦國際航空公司的訪問權(quán)限。而在出售該航空公司的網(wǎng)絡(luò)訪問權(quán)限一周后，該名代理又宣布將繼續(xù)出售航空公司網(wǎng)絡(luò)中的所有數(shù)據(jù)庫。在這起案件中，該代理就是利用他獲取到的航空公司網(wǎng)絡(luò)訪問權(quán)限來竊取公司的數(shù)據(jù)，進而采取兩種不同的方式來嘗試實現(xiàn)貨幣化。

如今，許多威脅情報公司開始監(jiān)視地下論壇以試圖獲取有關(guān)潛在受害者的詳細信息。雖然這是一項付費服務(wù)，但通過這種監(jiān)控收集到的情報可以讓受害者能夠更快地鎖定他們可能錯過的網(wǎng)絡(luò)入侵行為。

初始訪問代理先是宣傳一家航空公司的訪問權(quán)限，然后又出售15個據(jù)稱來自巴基斯坦國際航空公司的數(shù)據(jù)庫

出售網(wǎng)絡(luò)訪問權(quán)限和發(fā)生勒索軟件攻擊之間存在時間差，把握住這種時間差盡早檢測出企業(yè)網(wǎng)絡(luò)中的漏洞，您的安全團隊就越有可能緩解該問題并防止勒索軟件攻擊造成進一步損害。

8. 代理對白宮舉動作出回應(yīng)

最近幾個月，勒索軟件已經(jīng)成為政治上的“燙手山芋”。拜登政府要求俄羅斯政府嚴厲打擊從俄羅斯境內(nèi)襲擊美國目標的犯罪分子，并威脅稱，如果俄羅斯當局不盡快采取行動，將直接瓦解他們。

作為回應(yīng)，一些網(wǎng)絡(luò)犯罪論壇——包括俄語Exploit和XSS論壇——已宣布禁止勒索軟件通信，盡管安全專家表示此類禁令并不總能得到嚴格執(zhí)行。同樣地，一些初始訪問代理似乎對列出某些類型的受害者(例如醫(yī)療保健實體)也變得更加謹慎。

9. 私密通信仍在繼續(xù)

Kela報告稱，雖然大型網(wǎng)絡(luò)犯罪論壇已經(jīng)明令禁止勒索軟件宣傳，但是這種銷售很可能仍在幕后進行。例如，去年，隨著大流行的持續(xù)蔓延，一些代理“發(fā)布醫(yī)療保健部門的受害者，然后受到了其他用戶批評后刪除了報價”，但不能排除他們后來通過其他途徑出售了這些針對醫(yī)療保健行業(yè)的訪問權(quán)限的可能性。

初始訪問代理場景從來都不是靜態(tài)的。安全專家表示，新的賣家不斷出現(xiàn)，為更多新的受害者做宣傳。但想要了解有多少組織受到攻擊可能很困難，因為并非所有類型的訪問都會發(fā)布在網(wǎng)絡(luò)犯罪論壇上。而且即便他們這樣做了，代理們也經(jīng)常會掩飾受害者的身份，因為，很明顯，他們不想受害者得到風聲。

雖然一些論壇確實限制了對勒索軟件的討論，但潛在的初始訪問代理買家當然不必說明他們購買此類訪問權(quán)限的目的就是為了實施勒索軟件攻擊。此外，雖然Exploit和XSS禁止管理員為DarkSide和REvil等團體持有的帳戶提供服務(wù)，但這些團體可以簡單地以其他名稱創(chuàng)建新帳戶，以繼續(xù)購買訪問權(quán)限或建立關(guān)系。

10. 與犯罪團體確立合作關(guān)系

許多成熟的代理似乎已經(jīng)與特定的犯罪團體或勒索軟件運營的附屬機構(gòu)確立了合作關(guān)系，這也使得他們不必在公共網(wǎng)絡(luò)犯罪論壇上宣傳要出售的“訪問權(quán)限”，而是通過私密通信就能直接實現(xiàn)資源共享。

與前幾個季度相比，第二季度的訪問列表數(shù)量有所下降，這可能正反映了這種轉(zhuǎn)變。除了與犯罪團伙建立合作外，許多代理還會在網(wǎng)絡(luò)犯罪論壇上列出部分詳細信息，并告訴潛在買家私下溝通以獲取更多詳細信息。

勒索軟件運營商為獲取“獨家業(yè)務(wù)關(guān)系”——或至少是優(yōu)先購買權(quán)——尋找訪問代理，也是一種至少在去年年底開始出現(xiàn)的新趨勢。就在去年年底，DarkSide勒索軟件即服務(wù)團體在網(wǎng)絡(luò)犯罪論壇上發(fā)布消息稱，它希望找到可以讓其接觸年收入至少為4億美元的美國企業(yè)的訪問代理。

DarkSide運營商在俄語網(wǎng)絡(luò)犯罪論壇上發(fā)布的尋找訪問代理的帖子

安全公司Trend Micro的網(wǎng)絡(luò)犯罪研究主管Bob McArdle表示，許多大型勒索軟件運營商似乎已經(jīng)建立了廣泛的連接列表并確立了完善的關(guān)系拓撲。雖然這些勒索軟件團體可能隨時瓦解，但沒有什么可以阻止運營商和附屬機構(gòu)在他們離開或加入新團體時攜帶這些聯(lián)系，并將其繼續(xù)應(yīng)用于新的團體之中。

本文翻譯自：https://www.bankinfosecurity.com/10-initial-access-broker-trends-cybercrime-service-evolves-a-17249如若轉(zhuǎn)載，請注明原文地址。