前言：

勒索軟件即服務(wù)Ransomware-as-a-Service ?(RaaS)是當(dāng)前全球勒索軟件攻擊勢頭急劇上升的背景下出現(xiàn)一種服務(wù)模式。同其他Saas解決方案類似，RaaS模式已經(jīng)成為一種成熟軟件商業(yè)模式。RaaS的出現(xiàn)大大降低了勒索攻擊的技術(shù)門檻，勒索軟件開發(fā)者可以按月或一次性收費(fèi)提供給潛在用戶(犯罪組織)。這些犯罪組織，只需要購買勒索軟件來執(zhí)行勒索攻擊，獲利后按比例支付贖金給勒索軟件供應(yīng)商。然而隨著犯罪方式的演變，傳統(tǒng)的勒索方式需要犯罪者“親力親為”，即勒索團(tuán)伙需要自己發(fā)送釣魚郵件或者自己尋找目標(biāo)系統(tǒng)漏洞來植入勒索軟件，這樣大大消耗了時(shí)間和精力，RaaS組織需要更加直接的“大門”或者中間人去做入侵,于是 Initial Access Brokers(IAB)業(yè)務(wù)就變得活躍起來。

圖1- 勒索軟件即服務(wù)（RssS）產(chǎn)業(yè)模式圖

IAB產(chǎn)業(yè)現(xiàn)狀

?IAB（Initial Access Brokers-初始訪問代理業(yè)務(wù)）是指攻擊者通過多種方式獲得的受害者網(wǎng)絡(luò)資產(chǎn)初始化訪問權(quán)限，而后將其出售給犯罪組織實(shí)施犯罪的中間人行為，犯罪組織通常為勒索軟件團(tuán)伙或其附屬機(jī)構(gòu)。“初始訪問權(quán)限”不僅泛指RDP、VPN、Webshell、SSH權(quán)限這些可以直接進(jìn)入目標(biāo)網(wǎng)絡(luò)的權(quán)限，還有一些未授權(quán)訪問的資產(chǎn)、數(shù)據(jù)庫資產(chǎn)、系統(tǒng)用戶的賬戶權(quán)限等，也包括可利用的企業(yè)系統(tǒng)、網(wǎng)絡(luò)設(shè)備，如Citrix、Fortinet、ESXI 和 Pulse Secure的歷史漏洞和權(quán)限。攻擊者可以將這些系統(tǒng)的權(quán)限放到黑客論壇售賣，有時(shí)候還可以多次售賣給不同勒索軟件組織，這些攻擊者可以和勒索軟件供應(yīng)商形成供需關(guān)系，兩者通過匿名的IM通信，最后通過數(shù)字貨幣支付達(dá)成交易。通過黑客論壇，勒索軟件運(yùn)營商組織可購買IAB后直接植入勒索軟件達(dá)成勒索目標(biāo)，可以節(jié)省勒索組織在受害者網(wǎng)絡(luò)環(huán)境中入侵的時(shí)間和精力以及各種成本，這樣勒索軟件攻擊者可以將所有時(shí)間和精力集中在“改善”勒索軟件有效載荷和與他們的附屬機(jī)構(gòu)協(xié)調(diào)操作上，同時(shí)可以在暗網(wǎng)論壇上指定需要的權(quán)限類型與目標(biāo)行業(yè)，IAB的出現(xiàn)為RaaS提供了極大的便利。

圖2- RaidfForums上賣家出售數(shù)據(jù)庫信息的帖子

圖3- RaidForums上買家購買手機(jī)數(shù)據(jù)庫數(shù)據(jù)的帖子

在利益的驅(qū)動(dòng)下，RaaS與IAB的交易越來越密切，值得關(guān)注的是：根據(jù)Digital Shadows統(tǒng)計(jì)，IAB交易的熱點(diǎn)行業(yè)權(quán)限top5 為零售行業(yè)、金融行業(yè)、科技行業(yè)與工業(yè)制造業(yè)(如醫(yī)藥制造)，科技行業(yè)的初始訪問代理權(quán)限平均價(jià)格最高為13,607 美元。

圖4- DigitalsShadows統(tǒng)計(jì)2020年IAB的熱點(diǎn)行業(yè)及價(jià)格

IAB初始訪問權(quán)限獲取方法

?那么黑客通常是怎樣獲取有效的IAB的呢？我們結(jié)合威脅情報(bào)網(wǎng)站ke-la.com分析過IAB的幾個(gè)趨勢以及威脅情報(bào)網(wǎng)站curatedintel.org提供的資料，研究分析后歸納出如下圖所示的IAB初始權(quán)限獲取路徑圖。

圖5- IAB初始權(quán)限獲取路徑圖

?通過上圖我們可以看到，IAB產(chǎn)業(yè)初始權(quán)限獲取方法主要分為以下幾個(gè)路徑：

1．以目標(biāo)漏洞為途徑：攻擊者通過黑客搜索引擎來獲取受害者對(duì)外暴露的資產(chǎn)，之后進(jìn)行ip探測，域名探測，端口開放探測（如RDP端口）以及漏洞掃描，類似于紅藍(lán)對(duì)抗中攻擊隊(duì)前期對(duì)目標(biāo)的資產(chǎn)梳理和信息搜集，期間會(huì)用到各類黑客搜索引擎如Shodan、Censys，在確定目標(biāo)資產(chǎn)后進(jìn)行漏洞掃描，漏洞掃描過程主要探測是否存在一些知名軟件的歷史CVE漏洞，相關(guān)軟件產(chǎn)品如VPN產(chǎn)品SecureVPN、云桌面常用的Citrix軟件、虛擬化產(chǎn)品Vmware、微軟系列的Exchange、負(fù)載均衡設(shè)備F5以及路由器設(shè)備Cisco等。黑客一旦探測到相應(yīng)產(chǎn)品存在的漏洞，就發(fā)起攻擊，攻擊成功后可獲取目標(biāo)權(quán)限，之后可以進(jìn)行內(nèi)網(wǎng)橫向，植入后門等操作，最終獲取有效的初始訪問權(quán)限。具體使用到的漏洞如下圖所示。

圖6- IAB產(chǎn)業(yè)常用CVE漏洞

?2.?以社會(huì)工程學(xué)為途徑：在信息竊取活動(dòng)中主要以獲得目標(biāo)門戶網(wǎng)站登錄相關(guān)的MFA驗(yàn)證碼（多因子校驗(yàn)的秘鑰或驗(yàn)證碼）為主，攻擊方式不限于語音電話釣魚、短信釣魚、近源攻擊、偽造商業(yè)合作釣魚等一系列社會(huì)工程學(xué)攻擊，這些攻擊手段層出不窮，較為值得關(guān)注是電話釣魚，國外專注于人員安全意識(shí)培訓(xùn)和釣魚模擬攻擊服務(wù)的公司Terranova有總結(jié)到相關(guān)社工策略：“第一種常見的策略是一些網(wǎng)絡(luò)犯罪分子使用強(qiáng)硬的語言，表示他們正在幫助受害者避免刑事指控；第二種常見的策略是犯罪分子留下威脅性的語音郵件，告訴收件人立即回電，否則受害者可能會(huì)被逮捕，銀行賬戶被關(guān)閉，或者會(huì)發(fā)生更糟糕的事情。在網(wǎng)絡(luò)犯罪分子使用威脅和令人信服的語言下讓受害者覺得別無選擇，受害者只能提供犯罪分子想要的信息。”

圖7- Terranova對(duì)Vishing的解讀

?3.?以售賣信息的地下市場為途徑：使用在地下市場上出售的用戶信息獲得訪問權(quán)限，黑客通過著名論壇OGuser購買到關(guān)于受害者目標(biāo)用戶身份的訪問權(quán)限后嘗試登錄受害者的相關(guān)網(wǎng)站。

?圖8- OGuser上的賬戶交易服務(wù)

?4.?以第三方數(shù)據(jù)泄露為途徑：使用來自第三方數(shù)據(jù)泄露的憑證獲取訪問權(quán)限，拿到相關(guān)泄露數(shù)據(jù)后，與上述第三種方式不同，第三方泄露數(shù)據(jù)需要“二次加工”，可以通過密碼噴灑，撞庫攻擊，暴力破解等方式嘗試登錄受害者系統(tǒng)來獲取目標(biāo)系統(tǒng)訪問權(quán)限。

圖9- DeHashed論壇數(shù)據(jù)泄露交易

?5.?使用網(wǎng)絡(luò)釣魚活動(dòng)獲取訪問權(quán)限：以郵件釣魚為主，通過惡意郵件投遞一些惡意軟件，如RedLine Stealer (RedLine Stealer是一種惡意軟件，該惡意軟件從瀏覽器收集信息，例如保存的憑據(jù)：自動(dòng)填充的數(shù)據(jù)和信用卡信息等)，Vidar( Vidar是一種基于Arkei 的分叉惡意軟件)，Taurus(Taurus是一種基于C/C++實(shí)現(xiàn)的信息竊取惡意軟件),LokiBot(也稱為 Lokibot、Loki PWS和Loki-bot，使用特洛伊木馬惡意軟件來竊取敏感信息，例如用戶名、密碼、加密貨幣錢包和其他憑據(jù))等，這些釣魚方式大部分都是以惡意文檔為載荷,當(dāng)受害者打開文檔后利用宏去執(zhí)行或下載被加密后的Shellcode，之后建立C2信道進(jìn)行長期控制竊取信息，相關(guān)細(xì)節(jié)如下圖。Malpedia對(duì)這些軟件都有解釋和記錄，有興趣同學(xué)可在Malpedia上查詢。黑客在受害者不小心中招了相關(guān)惡意軟件后可直接獲得目標(biāo)的初始訪問代理權(quán)限。

圖10- 國外對(duì)MaliciousSpam 釣魚技術(shù)解讀

圖11- Trickbot的郵件木馬執(zhí)行過程（圖片來源：Hornetsecurity）

?6.?以內(nèi)部威脅為途徑：內(nèi)部員工直接就有內(nèi)部IT系統(tǒng)訪問權(quán)限，心懷不軌的員工可以拿公司的權(quán)限或數(shù)據(jù)到論壇進(jìn)行販賣或用于其他意圖。

“IAB”下企業(yè)如何做好防范措施

?1.?外部資產(chǎn)安全：攻擊者先通過信息搜集，通過漏掃工具進(jìn)行漏洞掃描或者通過第三方泄露數(shù)據(jù)進(jìn)行撞庫攻擊，根據(jù)這些攻擊方式，企業(yè)外部安全要做到:

?(1) 及時(shí)發(fā)現(xiàn)和修護(hù)系統(tǒng)漏洞，做好系統(tǒng)加固與升級(jí)，做好邊緣資產(chǎn)的收束，非必要服務(wù)與端口不對(duì)外開放。通過“監(jiān)控”第三方網(wǎng)站如Github，及時(shí)查看哪些員工數(shù)據(jù)遭到了泄露，避免有“強(qiáng)弱口令”和無風(fēng)控機(jī)制下的系統(tǒng)出現(xiàn)問題；

?(2) 系統(tǒng)與設(shè)備上線前要做好安全審計(jì)與安全測試，規(guī)避帶著“問題”上線而遭受黑客攻擊。

?2.?內(nèi)部安全建設(shè)：從攻擊者社工相關(guān)攻擊路徑來看，攻擊者通過攜帶惡意后門，廣撒網(wǎng)方式來進(jìn)行郵件釣魚，以及遭受“內(nèi)鬼”的威脅，因此內(nèi)部安全建設(shè)要做到：

（1）離職人員的賬戶權(quán)限要及時(shí)清除，員工訪問內(nèi)網(wǎng)系統(tǒng)的權(quán)限要進(jìn)行嚴(yán)格隔離，不同層級(jí)的網(wǎng)絡(luò)也要做好隔離；

（2）對(duì)員工做安全意識(shí)培訓(xùn)，防止員工中招郵件釣魚以及其他社會(huì)工程學(xué)的攻擊；

（3）日志系統(tǒng)的建設(shè)與健全：入侵后可以通過日志及時(shí)查漏補(bǔ)缺；

（4）安全設(shè)備的安裝盡量覆蓋所有終端，這樣可以抵擋大部分病毒與木馬的威脅，可以有效防止黑客橫向移動(dòng)與權(quán)限提升等后滲透行為，及時(shí)更新病毒庫可以有效防止黑客利用NDay攻擊。

3.?威脅情報(bào)建設(shè)：攻擊者通過在各大論壇出售與企業(yè)相關(guān)的數(shù)據(jù)與權(quán)限，因此企業(yè)需要做到：

(1)及時(shí)從外部論壇，威脅情報(bào)網(wǎng)站等獲取企業(yè)威脅信息，做好風(fēng)險(xiǎn)控制，及時(shí)關(guān)注最新安全態(tài)勢；

(2)密切關(guān)注IAB和三方數(shù)據(jù)泄露的動(dòng)態(tài)，防止數(shù)據(jù)與權(quán)限被出售后對(duì)企業(yè)形成“二次”傷害。

?4.?數(shù)據(jù)備份與容災(zāi):如果上述所有防線均被突破，那么平時(shí)做好數(shù)據(jù)備份與容災(zāi)工作，建立完善的災(zāi)備機(jī)制，擁有良好的數(shù)據(jù)權(quán)限隔離方案，可以有效防止業(yè)務(wù)系統(tǒng)數(shù)據(jù)被加密后無法解密的尷尬局面出現(xiàn)。

參考鏈接：

國外：

Initial Access Broker Landscape

All Access Pass: Five Trends with Initial Access Brokers - Kela

https://www.blueliv.com/cyber-security-and-cyber-threat-intelligence-blog-blueliv/research/use-of-initial-access-brokers-by-ransomware-groups/?

https://github.com/curated-intel/Initial-Access-Broker-Landscapehttps://terranovasecurity.com/what-is-vishing/

惡意軟件相關(guān)：

https://us-cert.cisa.gov/ncas/alerts/aa20-266a?https://securityboulevard.com/2021/05/an-in-depth-analysis-of-the-new-taurus-stealer/

釣魚郵件活動(dòng)：

https://isc.sans.edu/forums/diary/Dridex+malspam+seen+on+Monday+20170410/22280/

https://www.hornetsecurity.com/en/security-information/trickbot-malspam-leveraging-black-lives-matter-as-lure/

Malicious spam campaigns delivering banking Trojans | Securelist

國內(nèi)：

勒索軟件運(yùn)營商如何尋找攻擊目標(biāo)?

從初始訪問代理（IAB）趨勢看網(wǎng)絡(luò)犯罪服務(wù)的演變_騰訊新聞

總結(jié)

以上是生活随笔為你收集整理的勒索软件即服务与IAB产业浅析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。