每年都會(huì)有大量的公司發(fā)生重大數(shù)據(jù)泄露事件，例如2022年Medibank和Optus的數(shù)據(jù)泄露、Twitter的數(shù)據(jù)泄露、Uber和Rockstar的數(shù)據(jù)泄露以及2023年T-Mobile、MailChimp和OpenAI的數(shù)據(jù)泄露。在2022年，卡巴斯基實(shí)驗(yàn)室列出了全球700家來自不同行業(yè)的公司，然后在暗網(wǎng)上搜索，試圖分析這些公司遭受攻擊的可能性有多大？

研究發(fā)現(xiàn)，暗網(wǎng)里的帖子都是關(guān)于出售受攻擊帳戶、內(nèi)部數(shù)據(jù)庫(kù)和文檔，以及訪問公司基礎(chǔ)設(shè)施。雖然暗網(wǎng)確實(shí)促進(jìn)了各種數(shù)據(jù)類型的銷售，例如，銀行卡信息、駕駛執(zhí)照和身份證照片等，但本文重點(diǎn)還是放在了與企業(yè)特別相關(guān)的信息上。研究發(fā)現(xiàn)700家公司中有223家在暗網(wǎng)上被提及，泄露數(shù)據(jù)的主題也不同。

各行業(yè)分布

這意味著三分之一的公司在與銷售數(shù)據(jù)或訪問相關(guān)的暗網(wǎng)帖子中被引用，即使是網(wǎng)絡(luò)安全成熟度高的公司也避免不了被黑客攻擊。

本文提供了一個(gè)統(tǒng)計(jì)概述，包括所有暗網(wǎng)帖子，涉及2022年1月至2023年11月期間出售、購(gòu)買或免費(fèi)傳播受攻擊帳戶的數(shù)據(jù)。

數(shù)據(jù)泄露

數(shù)據(jù)泄露會(huì)暴露機(jī)密、敏感信息，并可能導(dǎo)致重大問題。最常見的例子是數(shù)據(jù)庫(kù)和內(nèi)部文檔，因?yàn)樗杏幸欢ㄒ?guī)模的公司都使用機(jī)密數(shù)據(jù)，泄露會(huì)影響公司本身、員工和客戶。

暗網(wǎng)上每月大約有1700個(gè)新的帖子出現(xiàn)，涉及銷售、傳播或購(gòu)買泄露數(shù)據(jù)。

2022年1月至2023年11月與數(shù)據(jù)庫(kù)出售/購(gòu)買相關(guān)的消息數(shù)量

應(yīng)該注意的是，并不是每條消息都代表一條最新出現(xiàn)的泄漏，其中有些是重復(fù)的廣告相同泄漏。

一個(gè)組合報(bào)價(jià)的示例

另一種流行的泄露類型是收集公共數(shù)據(jù)的數(shù)據(jù)庫(kù)，如姓名、個(gè)人資料、id和電子郵件，這些數(shù)據(jù)來自流行的社交網(wǎng)絡(luò)。它們是開發(fā)攻擊的寶貴來源。2021年，超過7億LinkedIn用戶和5.33億Facebook用戶的個(gè)人信息被抓取并發(fā)布在暗網(wǎng)上。

泄露的LinkedIn數(shù)據(jù)庫(kù)分布示例

基礎(chǔ)設(shè)施的訪問

以下是網(wǎng)絡(luò)攻擊者獲取企業(yè)基礎(chǔ)設(shè)施初始訪問權(quán)限以進(jìn)行攻擊的最常見行為：

1.利用軟件漏洞。例如，對(duì)企業(yè)web資源的攻擊，利用跨網(wǎng)站組件的1日漏洞，SQL注入，訪問易受攻擊的web應(yīng)用程序控制面板等。

2.獲得合法的公司證書。例如，使用竊取日志中的數(shù)據(jù)或密碼挖掘。

3.針對(duì)員工的網(wǎng)絡(luò)釣魚攻擊。例如，帶有惡意負(fù)載的電子郵件。

特別要提的是盜用合法賬戶的方法。這些駐留在受感染設(shè)備中的惡意程序收集各種帳戶和支付數(shù)據(jù)、cookie文件、授權(quán)令牌等，并保存到日志中。網(wǎng)絡(luò)攻擊者掃描這些日志，尋找他們可以利用和賺錢的數(shù)據(jù)，一些人在尋找信用卡數(shù)據(jù)，另一些人在尋找域名賬戶，社交網(wǎng)絡(luò)賬戶等，他們把這個(gè)階段稱為加工。在整理完日志后，他們要么在論壇上公開交換自己的發(fā)現(xiàn)，要么把它們賣給個(gè)人買家。

關(guān)于漏洞(例如SQL注入)和合法憑據(jù)(例如RDP/SSH)的信息，對(duì)于收入可觀的公司來說，定價(jià)會(huì)非常不同，因?yàn)樗鼈兲峁┝瞬煌某晒舾怕省３鍪蹘粢栽L問遠(yuǎn)程管理接口(RDP、SSH)意味著已經(jīng)獲得了對(duì)公司網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)的訪問權(quán)限，而漏洞僅僅提供了實(shí)現(xiàn)類似級(jí)別訪問的機(jī)會(huì)。

即使涉及到同樣的問題，比如SQL注入，也有許多因素影響攻擊的潛在發(fā)展，比如易受攻擊的主機(jī)位置(例如，公司網(wǎng)絡(luò)或云服務(wù)器)，預(yù)期的漏洞利用技術(shù)，數(shù)據(jù)庫(kù)容量等，基礎(chǔ)設(shè)施訪問受歡迎的原因很簡(jiǎn)單，復(fù)雜的攻擊幾乎總是包括幾個(gè)階段，例如偵察、對(duì)基礎(chǔ)設(shè)施的初始訪問、獲得對(duì)目標(biāo)系統(tǒng)或特權(quán)的訪問，以及實(shí)際的惡意行為(數(shù)據(jù)盜竊、破壞或加密等)。不同的階段需要不同的專業(yè)知識(shí)，因此網(wǎng)絡(luò)攻擊者往往具有專業(yè)知識(shí)，容易獲得訪問權(quán)限的人可能在攻擊的發(fā)展中面臨困難。在這種情況下，購(gòu)買初始訪問權(quán)限簡(jiǎn)化了攻擊，對(duì)于經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)罪犯來說很劃算。

對(duì)于希望降低與基礎(chǔ)設(shè)施訪問銷售相關(guān)的風(fēng)險(xiǎn)的企業(yè)來說，第一個(gè)挑戰(zhàn)是了解銷售情況。與其他類型的數(shù)據(jù)相比，這種數(shù)據(jù)類型的巨大區(qū)別在于，網(wǎng)絡(luò)攻擊者不喜歡在消息中提及公司的名稱，以免失去訪問權(quán)限，即使有人提到了名字，社區(qū)也會(huì)建議他們不要分享多余的信息。

對(duì)提供出售的帖子發(fā)表評(píng)論

在這種情況下，如何跟蹤此威脅？網(wǎng)絡(luò)攻擊者通常會(huì)在信息中加入一些屬性，比如地理位置、行業(yè)、公司規(guī)模和年收入。

一些帶有公司屬性論壇消息的示例

在2022年，研究人員發(fā)現(xiàn)了大約3000個(gè)獨(dú)立的基礎(chǔ)設(shè)施項(xiàng)目，到2023年11月，我們已經(jīng)找到了超過3100份報(bào)價(jià)。通常，被黑客攻擊的企業(yè)基礎(chǔ)設(shè)施包括企業(yè)VPN服務(wù)的帳戶和內(nèi)部網(wǎng)絡(luò)中的一些服務(wù)器或主機(jī)(通常，訪問是通過RDP或web shell執(zhí)行的)。

2022年1月至2023年11月提供的基礎(chǔ)設(shè)施訪問的消息數(shù)量

賬戶被盜

還有另一類數(shù)據(jù)是獲得初始訪問權(quán)限的真正發(fā)現(xiàn)，受攻擊帳戶。根據(jù)來源，研究人員將所有受攻擊賬戶分為三類：

1.在網(wǎng)絡(luò)威脅組織中自由傳播的公開秘密。

2.在黑客論壇和私人聊天中出售的具有有限訪問權(quán)限的漏洞，有時(shí)這些只是包含未經(jīng)驗(yàn)證的信息的小型數(shù)據(jù)庫(kù)。

3.在暗網(wǎng)論壇上發(fā)布的惡意軟件日志中泄露的用戶賬戶。由于REDLINE和VIDAR這樣的信息竊取程序，這些憑證變得可用，現(xiàn)在可以通過惡意軟件即服務(wù)在網(wǎng)絡(luò)犯罪社區(qū)中輕松訪問。

乍一看，網(wǎng)絡(luò)攻擊者沒有理由免費(fèi)共享憑證。然而，如果他們不再需要這些數(shù)據(jù)，并希望在特定的暗網(wǎng)論壇上提高他們?cè)诰W(wǎng)絡(luò)犯罪社區(qū)中的比率，他們?nèi)匀豢梢赃@樣做。此外，他們還可以發(fā)布一些包含受攻擊帳戶的惡意軟件日志文件，以進(jìn)行下一次銷售。

這三種類型的證書泄露都對(duì)公司造成了威脅，有些員工不顧禁令，使用公司電子郵件地址在第三方網(wǎng)站上注冊(cè)。在典型情況下，公司員工對(duì)外部服務(wù)和公司資源使用相同的密碼，有助于網(wǎng)絡(luò)攻擊者未經(jīng)授權(quán)便訪問公司基礎(chǔ)設(shè)施。