底細
自工業革命以來,企業一直在講求更為精簡的流程,以最大限度減低本錢,提高生產率和利潤。當然,這對于犯法結構而言亦是如此。如今,主動化已經成為幾乎所有產業必不能缺的構造部門。在絡安全領域,主動化的主要性尤為突出。跟著可用數據的量級增長,使數據蒐集、處置和關聯過程實現主動化,已經成為跟上恐嚇形勢的必備前提。不利的是,絡犯法結構同樣或許從主動化專業中贏利。
已往,犯法分子可能需求消費數周甚至數月的時間,來開闢、測試和實施惡意軟件,而此刻這一切已經或許開箱即用。這就導致即便是那些菜鳥進攻者也可以絕不吃力地介入和執行惡意事件。如今,恐嚇行徑者可能不再需求入侵目的企業來獲取起初的藏身點,相反地,他們可以輕松地從惡意軟件供給商處買入目的企業的拜訪權限,而無需消費大批時間手動解析這些數據庫。
除此之外,恐嚇行徑者還可以租用加載步驟和加密步驟,以協助分配和混淆其惡意軟件。他們可以從不同種類注入或疊加中進行抉擇,以滲入到站并蒐集主要的登錄信息或財政信息。或者,他們也可以租用現成的破綻應用器具包,這些器具包已經打包好了所需的破綻應用器具,只需求將抉擇的竊密器加載到受沾染的器材上,就或許輕松蒐集所需的信息。
為了確保犯法企業平穩運行,恐嚇行徑者還可以抉擇防彈托管以及代辦辦事等等。為了將蒐集的信息最大水平錢幣化,而不甘于賺些塊錢或做錢騾,他們還可以將信息出售給眾多地下店鋪和主動化市場,如此實現輪迴往復。
可以說,地下經濟中已經衍生出了涉及各層面的極度技術的辦事和產物,絡犯法事件也逐步實現了主動化和商品化。為了更為有效地接應這場戰爭,防御者必要以最新的信息武裝個人。近日,絡安全公司Recorded Future解析了來自恐嚇情報平臺、開放源情報源和公眾匯報的數據,概括出了絡犯法分子最常用的10種主動化進攻器具和辦事,并且還對每種器具最近的進攻動態、最高級供給商以及緩解舉措進行了簡要概述。
1. 數據庫泄露和販售器具
很多絡進攻起初都始于從受損絡中獲取到的憑據數據庫,這些信息如今都在暗中出售或拍賣。甚至在某些場合下,這些數據庫還在Pastebin等平臺上免費發行。數據庫損壞,是恐嚇行徑者對絡進行未經授權拜訪的結局,拜訪本身可認為恐嚇行徑者提供諸如特權增加和數據泄露之類的向量載體。此外,敲詐軟件運營商也可以採用該拜訪來加密受沾染的絡;而黑客則可以應用垂釣郵件來滲漏涵蓋自己地位信息(PII)、自己康健信息(PHI)、公司文檔、電子郵件地址、員工信息、社交部署文件等信息在內的數據庫。
一般來說,所有這些惡意活動都可以歸類為數據庫損壞或泄露的種別。
統計數據表示,數據庫泄露的數目每年都在提升。依據Norton的數據顯示,2024年有3,800項公然披露的違規行徑,曝光了41億條紀實。在暗中,恐嚇介入者之間可以出售或共享數據庫破綻,進攻者可以採用這些數據庫中採用最頻繁的用戶名和密鑰組合來針對流行的在線辦事和站點進行憑據填充進攻。
出售受害企業結構、執政機構、教育以及其他實體的絡拜訪權限可能是暗上最賺錢的生意之一,其販售價錢從幾百美元到數十萬美元不等。一般來說,絡拜訪權限是通過拍賣格式在暗上出售的,在此過程中,成員爭相競價,或者簡樸地通過固訂價格進行直接販售。據悉,此中最熱點的數據大多來自醫院、保運彩金手套險公司、律師事情所、制造業、航空(航空公司和機場)、教育、執政機構(州和市執政機構、差人局、地域醫院、推舉委員會)、電子商務和金融結構。
(1) 出售和分享數據庫的著名恐嚇行徑者
- Xrenovi4:一個俄語和英語,自2024年以來一直在運營cit0day——一家致力于出售泄露的電子郵件數據庫的在線店鋪。
Teamkelvinsecteam:也叫KelvinSecTeam,運營一項基于訂閱的辦事,用于從其站kelvinsecurity 上販售器具、惡意軟件和泄漏的數據庫。在其站上,他們還提供了種類紛繁的泄露數據庫,這些數據庫重要與電子商業、電信以及受沾染的暗有關。
Omnipotent:運營著官方珍藏的300多個數據庫,每個成員都可以付費採用。
Streetskip:也稱netork,出售針對多家美國和國際公司絡的拜訪權限。
bc.monster:出售針對美國和國際結構絡的拜訪權限,以及PII和被盜文件。
B.Wanted:重要出售針對美國執政機構結構和執法機構絡的拜訪權限。
Lalartu:俄語,重要出售針對執法機構和律師事情所絡的拜訪權限
Ellisdouglas,出售針對美國和國際執政機構實體以及俄羅斯、烏克蘭、巴西和德國不同種類結構絡的控制員拜訪權限。
(2) 緩解舉措
Insikt集團建議,企業結構可以采取以下舉措來阻撓應用絡破綻所導致的數據庫泄露活動:
- 確保所有軟件和利用步驟維持最新狀態;獨特是操縱體制,防病毒軟件,利用步驟和核心體制適用步驟;
過濾電子郵件中的廢物郵件并仔細查驗鏈接和附件,確保開啟了惡意軟件監測步驟;
固定期限備份體制并離線儲備備份;
嚴峻分辨公司敏銳數據,尤其要察看有權拜訪員工帳戶或器材的任何人都可以拜訪哪些數據(比如,通過絡垂釣通過器材或帳戶繼承)。驗證用戶的拜訪管理,并確保員器具有拜訪物質的業務需要;
創設基于腳色的拜訪,限制公司范圍內的數據拜訪以及針對敏銳數據的拜訪;
監督供給商的安全狀態,或考核採用第三方專業可能導致的危害;
對儲備的數據庫利用數據加密尺度,以防範或許未經授權拜訪結構內部絡的自己將其用于惡意目標;
監控員工帳戶的可用數據庫。
除此之外,商務電子郵件欺詐(BEC)也是與數據庫破綻和針對絡的拜訪深厚關連的一種策略。這種想法一般采用社會工程和絡垂釣專業,并試圖通過受損的電子郵件賬戶假裝成企業正當雇員或控制人員,來風險企業。這種進攻行徑的終極目的是盜取目的企業的機要信息或將資本遷移到犯法分子管理的賬戶之中。
依據FBI互聯犯法投訴中央(IC3)提供的數據顯示,BEC圈套正在連續增長,并且對準了不同種類規模的企業。自2024年1月以來,已辨別的暴露虧本增長了1300,此刻總虧本已過份30億美元。
(3) 緩解舉措
FBI建議,采取以下程序可以減低BEC進攻所帶來的風險:
- 創造入侵檢測體制條例,以標誌開拓名相似于公司電子郵件的郵件;
創造電子郵件條例以標誌答復電子郵件地址與所示的發件人電子郵件地址差異的電子郵件通訊;
在主題中採用色彩編碼和前置標簽分辨電子郵件,這將有助于辨別來自員工內部帳戶的電子郵件和來自非員工或外部帳戶的電子郵件;
通過SMS或地位驗證器利用步驟(比如Google Authenticator、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator)啟用多因素地位驗證(MFA),以安全地拜訪器材;
將手機驗證作為多因素地位驗證的一部門,以確定資本轉賬請願;驗證其他起源的號碼,比如公司站或以前的賬單或信件,而不是電子郵件請願中提供的號碼。
2. 查驗器和暴力破解器具
進攻者通過數據泄露進攻牟取賬戶后,可應用查驗器和暴力破解器來倡議大肆的主動登錄請願,以檢修受害者賬戶的有效性,或通過對數千個帳戶的憑據填充進攻來牟取未經授權的拜訪。這種類型的進攻也稱為憑據填充進攻。
依據Recorded Future發行的《憑證填充進攻的經濟性》匯報顯示,只需投入550美元,犯法分子就可以通過出售被盜登錄憑據牟取至少20倍的利潤。Akamai匯報稱,在已往的18個月中,它發明了過份35億起針對金融機構的憑證填充請願。
查驗器(Checkers)是絡犯法分子採用的主動化器具(劇本或軟件),用于依據站的登錄體制查驗用戶和密鑰組合的有效性。查驗員可以採用站的主頁、挪動利用步驟或利用步驟界面(API)性能來辨別有效帳戶。
暴力破解是主動密鑰破解器具,也可以用于發明Web利用步驟中的躲藏頁面和內容。絡犯法分子可以採用暴力策略通過主動辦事器請願來拜訪機要信息和用戶帳戶。主動化的暴力破解器具,比如Brutus、Medusa、THC Hydra、Ncrack、John Ripper和Rainbo,可以協助進攻者趕快測度出特定用戶或站點的密鑰。從數據轉儲中牟取的部門信息(諸如用戶名等)還使進攻者更輕易採用暴力破解來獲取密鑰。
查驗器和暴力破解器具使絡犯法分子可以主動進行進攻監察階段,并獲取用戶其他詳細信息(比如可用地址、電子郵件和付款卡詳細信息)或拜訪目的賬戶。在絡殺傷鏈模子中,監察是絡進攻者用來蒐集有關其預定目的信息的第一步。
研討顯示,假如受害者在多個在線平臺上重復採用雷同的登錄信息,則這種進攻發作的概率會更大。依據南加州大學的研討指出,密鑰重用的現象極度全面,98的用戶存在重用密鑰現象,其重要來由在于對危害的熟悉缺陷以及將易于影像置于安全性之上。
(1) 最近重大活動
- 2024年1月,TechCrunch了印度航空公司SpiceJet的一次違規活動,陰礙了120萬人次。據,通過採用體制輕易猜到的密鑰,可以暴力破解并拜訪SpiceJet內部體制。
2024年1月,亞馬遜旗下智能相機制造商Ring面對一項訴訟,據稱,犯法分子採用一系列平凡密鑰來強行闖入一位用戶的Ring攝像頭帳戶。
2024年7月,美國銀行和保險公司State Farm表明,其忍受了憑證填充進攻,在此時期,惡意行徑者或許確定State Farm在線帳戶的有效用戶名和密鑰。
(2) 著名的查驗器和暴力破解器具
在暗中,絡犯法分子或許應用到的主動化、自定義和開箱即用的器具可謂成千上萬。STORM、Black Bullet Account Cracker和Sentry MBA之類的器具支持無窮數目的自定義插件,這就等于為犯法分子提供了針對幾乎所有上零售業務并實現賬戶繼承的本事。暗中販售的其他器具還包含有多合一查驗器、Starjieu郵件查驗器、Private Keeper、SNIPR、WOXY郵件查驗器、Slayer Leecher和Kerbrute。還有一些針對運彩 冠軍 畫法單個公司(比如Netflix、Facebook、Instagram或Spotify)的鮮為人知的器具。
這些主動化器具可以協助進攻者採用受損的用戶名和密鑰,進攻包含有銀行、電子商業、會員或獎勵方案、社交和加密錢幣錢袋在內的一系列帳戶。一旦進攻者牟取對帳戶的拜訪權限,他們就會嘗試耗盡可用資本,獎勵積分,盜取自己和財政詳細信息(比如信譽卡數據),或者進行欺詐或地位盜用。
(3) 著名的查驗器和暴力破解器具賣家
- Bruteguru:是暴力破解和帳戶查驗器器具Guru Brute B
在登錄過程中要求提供其他詳細信息(比如,CAPTCHA或用戶的姓氏),以在主動憑據填充進攻中損壞進攻者的編程邏輯;
啟用多因素地位驗證(MFA);
配置定制的Web利用步驟防火墻條例,獨特留心反常的標頭次序和用戶代辦,以及查驗有效的引薦起源;
限制登錄流量和頻次以阻撓進攻者。比如,在一宿命量的失敗登錄嘗試后鎖定賬戶,或者在辦事器對登錄請願的響應中引入耽擱;
刪除未採用的面向公共的登錄路徑,并增強對挪動器材和API登錄路徑的管理;
為流量和絡請願創設基準,以監督不測流量。
3. 加載步驟和加密步驟
一旦恐嚇行徑者確認了目的,他們的下一步一般即是將惡意負載(比如惡意軟件)通報到目的體制或器材中。由于很多目的體制或器材受到防病毒軟件的某種水平的保衛,這些軟件可能會辨別、標誌或阻撓惡意有效負載,因此恐嚇行徑者一般會在初始沾染過程中採用不同凡響器具(比如加載步驟和加密步驟)作為初始沾染的一部門,來避免被端點安全產物(比如防病毒軟件)檢測到,然后下載并執行一個或多個惡意有效載荷(比如惡意軟件)。
(1) 加載步驟
加載步驟一般涵蓋一組有限的性能集。它們一般擔當查訪受害者的算計機,採用號召和管理(C2)辦事器進行檢入,然后下載并執行更高等的惡意軟件。此過程確實切細節因加載步驟而異,但最根本的加載步驟可能會將終極的有效內容保留到受害者的文件體制中,然后將其作為新歷程運行。最進步的加載步驟會將下載的有效負載徹底保存在內存中,并採用諸如process holloing或反射DLL注入之類的過程注入專業來執行它。通過將有效負載保留在內存中,加載步驟會減少安全產物檢測終極有效負載的時機。
(2) 著名的加載步驟
- Amadey:恐嚇行徑者InCrease出售的一種加載步驟,具有根本的上傳、下載和主動運行性能,售價600美元;
DiamondFox:恐嚇行徑者edbitss出售的一款多性能加載步驟,具有可選的自定義模塊,比如RAM抓取器具、敲詐軟件、cryptojacker和一些盜取器性能,包含有閱讀器密鑰和cookie抓取。DiamondFox根本版本的價錢低至600美元,而所有附加模塊的價錢高達2700美元。
Buer Loader:恐嚇行徑者memeos出售的一款根基版加載步驟,可以作為DLL或EXE文件執行,檢測沙箱環境,以用戶權限運行以及可以抉擇要沾染的國家和操縱體制。售價400美元,可為買家提供終身免費的專業支持、除舊和過錯修復辦事。
Smoke Bot:恐嚇行徑者SmokeLdr出售的一款多性能加載步驟,具有可選的自定義模塊,比如表單獲取器,密鑰盜取步驟和DDoS性能。根本版本的Smoke Bot本錢低至400美元,而所有附加模塊的本錢高達2,450美元。
(3) 加密步驟和非分布式掃描步驟
對于介入流傳惡意軟件的恐嚇介入者而言,加密步驟和非分布式掃描步驟是兩項根本辦事。加密辦事用于加密和混淆惡意軟件有效載荷,以避免被防病毒軟件檢測到。加密步驟的某些性能包含有:縮減可執行文件以減小可交付內容的大小,通過虛擬機檢測迴避沙箱,并假裝成平凡軟件。然后,可採用非分布式掃描步驟來查驗是否有加密的惡意軟件被任何防病毒軟件檢測到。
跟著進攻面的連續提升,越來越多的恐嚇行徑者正在採用首創的進攻前言來配置新的惡意軟件變體。一些恐嚇行徑者不具備技術的專業常識,這就需求更多專業恐嚇行徑者的技術常識來協助配置惡意軟件。因此,加密步驟開闢者可以創造旨在供專業程度各異的恐嚇行徑者採用的產物。這些加密步驟一般是用戶友善型的,并提供了一個簡樸的界面,此中包含有部署所有選項的GUI,包含有加密想法、密碼以及有效載荷注入的位置等等。一旦恐嚇行徑者抉擇了加密步驟并上傳了必須的信息,加密步驟就會將惡意有效載荷加密為有效的編程代碼;隨后,恐嚇行徑者就可以通過絡垂釣或廢物郵件向受害者提供該步驟;步驟執行后,加密步驟會自行解密并開釋惡意負載。
(4) 著名的加密步驟和非分布式辦事
- Kerens:運行非分布式辦事avchecknet和加密辦事cryptguru;
p1t:運行加密辦事KleenScan;
Dyncheck:運行非分布式辦事Dynamic Runtime Antivirus Check。
(5) 緩解舉措
- 鑒于有大批的定制加密器具(以及教程和操縱指南)可以通過開源和加密器具開闢者輕松地向公共公然,而加密器具的開闢者將繼續生產具有加強性能的加密器具來打垮防病毒舉措,因此需求固定期限除舊防病毒軟件;
配置除防病毒之外的其他響應和檢測管理舉措,以檢測惡意負載,比如絡入侵檢測體制(S)、端點監督、netflo蒐集、主機日志紀實和Web代辦,以及人工監督檢測源;
對絡垂釣和關連危害進行訓練和教育,由於這是配置惡意軟件的切進口。
4. 竊密步驟和鍵盤紀實器
竊密器是絡犯法分子中另一種流行的器具,用于從受害者處盜取敏銳信息。這些惡意軟件一般被預先部署為從流行的在線辦事、電子郵件客戶端和文件控制軟件以及其他有代價的財產(如加密錢幣錢袋)中盜取不同種類各樣的登錄憑據。竊密器的創造者一般會不停提供軟件除舊和客戶支持辦事,以確保惡意軟件或許正常運行。這種類型的惡意軟件實際上就像長途拜訪一樣,它使進攻者或許長途交互并管理受沾染的算計機或蜂窩器材。
(1) 著名的竊密步驟
- Raccoon Stealer:由黑結構raccoonstealer出售,是暗最受迎接的竊密步驟之一,可以盜取電子郵件、密鑰、信譽卡數據和加密錢幣錢袋以及體制信息。該盜密步驟在俄語論 壇上大規模宣揚,并被以為是由俄語恐嚇者管理的。
KPOT:以從受害者主機的絡閱讀器、實時通信步驟、電子郵件、加密錢幣和VPN中盜取數據而聞名。該步驟由結構MonsterCat開闢和販售,實在際是一種可部署的長途拜訪,或許從不同種類體制利用步驟中盜取憑據,包含有VPN、電子郵件、RDP、加密錢幣錢袋、FTP和社交利用步驟。
Predator the Thie:由恐嚇行徑者Alexuiop1337創造,可以從Edge、基于Chromium和基于Gecko的閱讀器中盜取Cookie、用戶名和密鑰。Predator可以從FTP客戶端、聊天利用步驟、VPN客戶端或加密錢幣錢袋中盜取登錄憑據,還可以蒐集受害者體制信息。
AZORult:是一種信息竊密器具,可以從多個軟件利用步驟中盜取憑據,從桌面枚舉和盜取文件,從閱讀器擒獲保留的數據(包含有cookie、密鑰和已保留的信譽卡信息),盜取Skype登錄憑據以及盜取加密錢幣錢袋信息。
(2) 緩解舉措
- 投資提供補丁狀態匯報的解決計劃,這種類型的解決計劃可以洞悉已收到彌補舉措的破綻以及已收到這些補丁的算計機;
部署入侵檢測體制(S)、入侵防御體制(IPS)或任何可用的絡防御機制,以警告器材上發作的任何惡意事件;
監督文件驅動器和注冊表的可疑更換。
5. 銀行eb 注入
銀行eb 注入是執行欺詐行徑的一種流行且性能強盛的器具,并且在暗中廣為傳播。這些器具或模塊可以與銀行一起採用,在用戶被重定向到正當站之前,通過注入HTML或JavaScript代碼蒐集敏銳信息,比如付款卡數據、社會安全號碼、PIN、信譽卡驗證碼或其他任何PII。
銀行eb 注入是閱讀器中間人進攻(Man-in-the-Broser,MitB)的一部門,此中,銀行可以通過執行API hooking即時改動正當銀行頁面的內容。這些改動后的受損內容位于Web注入部署文件中,該文件一般托管在長途號召和管理(C2)辦事器上,并下載到受沾染的算計機或器材上。進攻者可以主動除舊辦事器和受沾染機械上的部署文件。絡犯人分子還會加密和混淆部署文件,以迴避防病毒軟件的檢測,并使解析加倍難題。
解析表示,銀行eb 注入目前已與多個銀行集成在一起,既可以損壞用戶的銀行帳戶,也可以採用主動轉帳體制(ATS)來主動盜取資本。這些銀行馬包含有Cerberus、Anubis、Mazar、ExoBot和Loki Bot。一些Web注入還可以勝利繞過雙因素地位驗證(2FA)。而與銀行木集成的Web注入還具有管理面板,并且可以徹底管理用戶算計機。
針對暗市場的解析表示,一些銀行eb 注入開闢者針對差異受眾差別提供了現貨供給型注入以及為每個客戶量身打造的定制型注入。這些產物的價錢全面較高,可能高達1000美元,平均價錢為150-250美元。
(1) 著名恐嚇行徑者
Valolik:該恐嚇介入者是多個最高級俄語論 壇的成員,是Andro eb注入的領先開闢商之一;
P0ned:地下犯法論 壇上的一位俄羅斯黑客,是銀行eb注入以及流行社交(如Instagram和VKontakte)和電子郵件辦事提供商(如Gmail,AOL和Yandex)仿造頁面開闢者;
Kaktys1010:多個最高級俄語論 壇的成員,是Windos歐冠盃運動彩券和Andro eb注入以及具有不具有SMS 令牌攔截性能的仿造頁面的開闢人員。該恐嚇行徑者運營洋蔥站KTS,販售上述產物。
(2) 緩解舉措
- 使軟件和利用步驟維持最新狀態,獨特是操縱體制、防病毒軟件、利用步驟和核心體制適用步驟;
在所有器材上安裝防病毒解決計劃,規劃除舊并監督防病毒狀態;
通過SMS或Google、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator等地位驗證步驟啟用MFA多因素認證;
僅採用HTTPS連結eb辦事;
教育員工并進行安全意識訓練;
配置廢物郵件過濾器,以檢測病毒、空缺發件人等;
配置Web過濾器,以阻撓惡意站;
加密公司所有敏銳信息;
禁用HTML或將HTML電子郵件轉換為純文本電子郵件;
僅從可靠起源下載利用步驟和文件;
採用密鑰控制器。多數銀行馬都可以紀實擊鍵信息,通過採用密鑰控制器填寫密鑰,您可以避免物理上輸入憑據;
將您算計機上銀行的登錄屏幕與其他人的雷同登錄屏幕進行對照,以確保他們的外觀雷同。
6. 破綻應用器具包(EK)
破綻應用器具包用于主動應用Web閱讀器破綻,以最大水平地流傳沾染,并提供諸如馬、裝載步驟、敲詐軟件和其他惡意軟件之類的惡意負載。Insikt集團在已往幾年中觀測到的常見破綻應用器具包包含有FalloutEK和RIG EK。
但是,研討發明,新的破綻應用器具包的創造數目有所降落。除此之外,在已往的幾年中,絡犯法分子的偏好也從針對Adobe破綻的破綻應用器具包轉向了Microsoft花費產物破綻應用器具包。2024年,排名前10的破綻應用器具包中有7款是針對Microsoft產物開闢的,這與之前的排名(2024年、2024年)形成了鮮豔對比,之前一直在應用Adobe Flash破綻。
緩解舉措:
- 優先修理專業產物中微軟產物和較舊破綻的補丁;
確保在閱讀器建置中主動禁用Adobe Flash Player,此外,由于Adobe將于2024年12月31日終止對Flash Player的支持,因此不建議下載或繼續採用此產物;
不要健忘修理較舊的破綻——破綻平均可以生存近7年;
開展并歷久堅定絡垂釣安全意識訓練,這可以涵蓋用戶訓練,以教育用戶不要容易點擊可疑鏈接或附件。
7. 廢物和垂釣郵件
廢物郵件和絡垂釣郵件(包含有魚叉式絡垂釣)一般結伴顯露,但實質上,它們是兩種極度差異的策略。
(1) 廢物郵件
發行廢物郵件的恐嚇行徑者一般會以廣撒的方式,不加抉擇地對準成千上萬個受害者。廢物郵件主題一般涉及在線藥、約會、快速致富方案等,內含惡作劇、惡意鏈接以及病毒等等。
廢物郵件發送者一般可以通過以下想法獲取電子郵件信息:
- 採用主動化軟件生成地址;
誘使人們在欺 詐站上輸入其詳細信息;
入侵正當站以蒐集用戶的詳細信息;
從其他廢物郵件發送者處買入電子郵件列表;
誘使人們點擊進入假充廢物郵件中止辦事的欺詐站;
抄送行中的名稱地址,或已轉發的電子郵件正文中未刪除先前介入者的名稱地址。
(2) 從事廢物郵件事件的恐嚇行徑者
588771:是一個俄語犯法結構,他們專門提供針對SMS、電子郵件、Skype、Telegram和社交絡的技術廢物郵件辦事。據悉,588771結構的辦事價錢已經從起初的1,000條SMS動靜美元起,飆升到了此刻的10,000條SMS動靜1,000美元,有英語和俄語兩種版本。
Stone:同樣也是一個俄語犯法結構,正在以2024美元的價錢出售廢物電子郵件機械人。stone聲稱,這些機械人可以隨機化電子郵件主題、文本以及附件名稱等等。
(3) 緩解舉措
- 避免公然發行您的電子郵件地址,包含有在社交上;
不要回復廢物郵件,那樣只會證實你的電子郵箱賬戶有效;
下載安裝額外的廢物郵件過濾器具和防病毒軟件;
在線注冊時避免採用自己或公司電子郵件地址。
(4) 絡垂釣電子郵件
絡垂釣一般與廢物郵件相似,犯法分子會向數以千計的受害者發送電子郵件。不過,絡垂釣進攻常常採用社社會工程策略,將自身假裝成來自受信賴或其他正當實體的電子郵件。
此中,直接發送給特定受害者的電子郵件,獨特是給杰出人物的電子郵件,被稱為魚叉式垂釣。魚叉式垂釣不太可能出自主動化器具,由於這種類型的郵件一般是針對特定目的量身定制的性格化電子郵件。絡垂釣電子郵件通常會假裝成從銀行、信譽卡公司、在線店鋪和拍賣站以及其他受信賴的結構發送的。他們一般試圖誘使受害者進入該站,比如要求受害者除舊密鑰以避免帳戶被暫停,或是要求受害者下載附件中的主要文檔。電子郵件本身的嵌入式鏈接指向的站看上去與真理的站徹底一樣,但實質上是一個仿造的站,旨在欺騙受害者輸入自己信息或下載惡意文件。
對于絡犯法分子而言,絡垂釣依然是其進行社會工程進攻、配置惡意軟件并獲取對目的企業進一步拜訪權限的最受迎接的進攻前言之一。
(5) 絡垂釣事件惡意行徑者
Poseon:是一個英語語言犯法結構,專門從事創造和販售絡垂釣器具、財政欺詐文檔和想法,以及有關進行欺詐事件的入門指南等。此外,Poseon還或許對站進行DDoS進攻,并且精通圖形設計,該恐嚇結構曾應用圖形設計本事仿造加拿大地位證件并創造針對金融機構的絡垂釣頁面。
Frod:是一個俄語犯法結構,除了分配廢物郵件、惡意軟件、僵尸絡和誘騙事件外,他們還為絡垂釣事件宣揚防彈托管辦事。frod主機的價錢在75-200美元之間,具體取決于買方的要求。
(6) 緩解舉措
- 對員工進行教育,并進行絡垂釣模仿;
配置廢物郵件過濾器,用于檢測絡垂釣的眉目;
採用最新的安全補丁步驟和除舊使所有體制維持最新;
訂定密鑰安全手段;
配置Web過濾器以阻撓惡意站;要求所有員工(尤其是長途任務人員)落實加密舉措,包含有全盤加密(比如256位AES)和通過SSL或運彩 讓分怎麼看TLS的絡加密。
8. 防彈托管辦事(BPHS)
為了延伸犯法企業的壽命,恐嚇行徑者會應用代辦和防彈托管辦事(BPHS)來掩飾其事件并結構其被執法機構抓捕。BPHS與通例的絡托管辦事提供商提供的辦事之間最大的區別之一是,它們依賴一種模子擔保向惡意內容和事件提供匿名安全托管,并允諾不會因司法請願而中斷犯法事件或導致進攻者被捕。
(1) 著名賣家辦事
EliteVPS:是一家托管公司,至少從2024年2月開端就一直在地下論 壇上積極宣揚其辦事。和其他同類辦事差異的是,與它們業務關連的辦事條款聲稱,將制止發行與暴力傷害兒童和動物有關的數據。Yalishanda:是一名地下地下市場恐嚇行徑者,自2024年12月以來就一直在Exploit和其他多個俄語論 壇上做過托管辦事的廣告。其採用FastFlux專業,且佔有個人的代辦辦事器,該代辦辦事器依靠KVM和XEN虛擬化。(*關于FastFlux——在正常的DNS辦事器中,用戶對同一個域名做DNS查詢,在較長的一段時間內,不論查詢幾多次回去的結局根本上是不會變更的。Fast-flux專業是指不停變更域名和IP地址映射關系的一種專業,也即是說在短時間內查詢採用Fast-flux專業配置的域名,會得到差異的結局。)
(2) 緩解舉措
- 應用恐嚇情報平臺來幫助監督惡意辦事提供商;
將與惡意BPHS關聯的辦事器列入黑名單。
9. 信譽卡嗅探器
在暗經濟中,嗅探器(Sniffer)指的是一種用JavaScript編寫的惡意軟件,旨在從電子商業站的付款頁面滲入并盜取無卡買賣(CNP)數據。然后,可以採用此CNP數據(稱為CVV)在線買入有價和或高需要的商品以進行轉售。 一旦恐嚇行徑者確認了可被嗅探器應用的破綻,他們便注入惡意JavaScript,該JavaScript或許主動擒獲拜訪受沾染站點的所有客戶的數據,從而主動蒐集眾多付款卡和主顧自己信息。然后,嗅探器將已泄露的數據轉發給恐嚇介入者的C2,以供進一步應用。
運彩 暫停受理投注時段(1) 著名的嗅探器開闢商和供給商
- Sochi:該恐嚇行徑者是JavaScript嗅探器Inter和Andro馬 Red Alert的創造者。Inter的部門屬性包含有,盜取CNP支付數據,不攙和或斷開SSL連結,檢測支付格式和卡類型,迴避防病毒軟件檢測。Poter:該恐嚇行徑者是俄語語言者,依據廣告宣揚,其嗅探器或許在打開閱讀器時重置事件,在檢索到新的受損數據時進行除舊,并主動搜索受到損壞的店鋪。
Billar:該恐嚇行徑者是俄語語言者,專門為嗅探器變體mr.SNIFFA宣揚,并對其進行連續開闢應用。Roshen:該恐嚇行徑者是俄語語言者,自2024年8月以來一直在Exploit上廣告無知名但定制的嗅探器。據稱,該嗅探器或許提供增添刪除用戶,限制某些用戶,形式化導出數據以及數據的地圖視圖等辦事。
(2) 緩解舉措
- 對站進行固定期限考查,以辨別可疑劇本或絡行徑;
防範任何不用要的外部劇本加載到付款頁面上;
考核電子商業站上的第三方插件并監督其代碼或行徑的更換。
(3) 主動化絡地下市場
絡犯法分子面對的最大挑釁之一,一直是如何將他們獲取的內容錢幣化。起初,很多買賣是當面進行,或是在論 壇和死人聊天辦事長進行的。不過跟著盜竊規模的漸漸擴張,進攻者便開端通過在線信譽卡店鋪、帳戶店鋪和暗市場中出售被盜數據。如此一來,擔當盜竊的進攻者不必再掛心找不到買家的場合,他們可以直接將偷來的內容出售給地下市場,一次性獲取販售利潤。
反過來,像Slilpp、Joker’s Stash和Genesis Store這樣的市場也使其他人更輕易進入地下經濟。在Joker’s Stash這樣的店鋪中,自己不再需求把握信譽卡欺詐的專業技巧。犯法分子可以依照店鋪提供的簡樸說明下載插件,存入幾百美元,買入幾張信譽卡,然后開端進行在線買入。在某些場合下,甚至可以在同一家店鋪中牟取持卡人的PII,這使得進行欺詐買賣變得加倍輕易。
一些店鋪還會出售恐嚇行徑者獲取到的不同種類賬戶的憑據,包含有銀行帳戶、電話帳戶、在線店鋪賬戶、約會帳戶以及其他不同種類有助于實施在線欺詐的賬戶。此外,恐嚇介入者甚至可以獲取受沾染體制的數字指紋,以協助他們假裝成受害者器材,從而繞過正當公司實施的反欺詐舉措。
還需求留心的一點是,一些店鋪不光為受客戶端拜訪的域出售憑證,並且還為受傷害的體制和器材的企業域和VPN出售憑證。這可能尤為危險,由於更復雜的恐嚇介入者可以採用從員工那里牟取的憑據來拜訪企業內部體制和絡,以執行社會工程、商務電子郵件欺詐,拜訪升級和其他類型的進攻。
(4) 緩解舉措
店鋪,市場的類型以及要出售的帳戶種類紛繁,因此很難提出一刀切的緩解手段。但是,至少可以采取下述手段進行緩解:
- 監督店鋪和市場中與您企業關連的帳戶;
對店鋪中可用帳戶數目激增做出及時反映,由於這可能表示恐嚇行徑者已違背或實施了新的TTP;
留神面向非公然域的賬戶泄露,由於它可用于增進進一步的違規行徑;
通過SMS或Google地位驗證器、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator等地位驗證器利用步驟啟用MFA。
