作為一名安全研究人員,想要與更廣泛的社區分享你的創新和見解(并在活動中獲得同行的認可),通常有很多選擇:出席會議;寫研究論文、博客或推特帖子;提交CVE。或者參加CTFs(奪旗比賽)和漏洞研究競賽,比如Pwn2Own。畢竟,合法領域總是充滿了各式各樣的機會。

但如果你是需要進行秘密研究的威脅行為者,情況又將如何?理論上,沒有什么可以阻止你做上述任何一件事,但它可能會引起不必要的注意,甚至會適得其反。雖然與其他威脅參與者分享創新和見解會更好,但問題是如何分享?在哪里分享?

如果有一件事犯罪市場做得很好,那就是很好地滿足了犯罪分子的需求,分享見解領域也不例外。幾年來,著名的俄語網絡犯罪論壇(如Exploit和XSS)每年都會為其成員舉辦研究競賽,贊助商通常是著名的威脅行為者組織,他們會提供金錢獎勵。

事實上,早期的競賽很簡單,包括小測驗、圖形設計競賽或猜謎游戲。但如今的競賽已經與最初的基本競賽大不相同。最近的競賽更類似于合法安全會議的征稿(Call for Papers,CFPs)——邀請用戶提交有關技術主題的“文章”,包括源代碼、視頻和/或截圖。

與之前的競賽不同,今天的競賽對威脅行為者有很大的吸引力。部分原因在于獎金豐厚——雖沒有Pwn2Own或天府杯(Tianfu Cup)那么多,但也不是小錢——而且這也是威脅行為者獲得同行認可和喝彩的機會。

雖然這些競賽存在本身就很有趣,但他們的參賽作品讓我們對威脅參與者的創新有了一些了解:他們正在做什么、想要克服哪些障礙、如何克服,以及他們的同行認為什么是重要的。

競賽運行模式 

網絡犯罪論壇通常每年都會舉辦一次競賽,這個過程也非常簡單:管理員宣布比賽,并指定截止日期、主題領域和規則。

論壇的任何用戶都可以通過專門的線程提交條目,到達截止日期后,管理員將取消任何不符合規則(例如,低于最低字數限制,或剽竊)的條目的資格,其余的將在論壇上進行公眾投票。

Exploit論壇最近的一次競賽于2021年4月20日啟動,總獎金為80000美元。競賽以“加密貨幣”為主題,要求撰寫有關攻擊、盜竊、弱點和漏洞的文章。具體來說,管理員建議的主題如下:

  • 提取私鑰和錢包的非標準方法;
  • 2021年的挖礦活動,挖礦類型、設備、非標準挖礦軟件;
  • 大型科普文,用通俗易懂的語言描述加密貨幣協議中最不尋常和非典型的細微差別;
  • 智能合約及與之相關的一切;
  • NFT——從何處入手?從理解本質到獲取第一筆收益的路徑;
  • 作者用于處理加密貨幣的軟件(私鑰,解析器,暴力破解等);
  • 硬件錢包的概述和使用它們的功能;
  • 代幣、創建、推廣(涉及所有可能的網絡);
  • 加密貨幣的分析(涉及技術和財務);
  • 使用加密貨幣的安全性,拒絕老生常談的內容;
  • DeFi相關內容;
  • 使用加密貨幣、支付管理、數據處理時的支付自動化。

【圖1:2021年4月公布的Exploit競賽,見上圖項目列表的翻譯】

該競賽于2021年4月21日開始,一個月后報名截止,9月份宣布獲勝者。

XSS論壇的最新競賽則從2022年3月17日持續到7月1日,獎金為4萬美元,比前一年的1.5萬美元有了顯著提升。

那次競賽比較籠統,列出了以下可接受的題目:

  • 在Windows和Linux的用戶或內核模式中pinning的方法;
  • 為Windows或Linux創建和修改0/1天漏洞;
  • 逆向:分析和修改惡意代碼;
  • 繞過安全軟件,隱藏惡意代碼的技術;
  • 滲透測試Active Directory:權限升級、數據收集、使用post-exploitation框架;
  • 社會工程和欺詐:分析真實案例以及自己的經驗;
  • 無線電電子武器:設備的操作、裝配和改裝;
  • 惡意軟件開發;
  • 低級程序設計;
  • Web漏洞及其利用;

【圖2:XSS于2022年3月啟動的最新競賽,見上圖項目列表的翻譯】

在這兩場競賽中,論壇的任何成員都可以參加,不管他們是什么時候注冊的,也不管他們發了多少帖子。參賽作品可以在論壇的特定部分提交,也可以在帶有特定標題的公告線程中提交。

規則

Exploit和XSS競賽都規定了特定的參賽規則。

Exploit的規則

  • 參賽作品必須沒有在其他地方發表過,并且必須屬于作者;
  • 參賽作品必須有意義且全面,涉及擬議主題的所有方面,并描述所使用的機制,實踐和工具。
  • 參賽作品應該以算法、代碼和/或圖表的形式包含技術細節;
  • 文章長度不少于5000字(不包括空格);

XSS的規則

  • 每位參賽者最多可提交三份參賽作品;
  • 參賽作品必須是作者的原創(復制粘貼=開除參賽資格,可恥);
  • 參賽作品應在論壇上獨家發布,不涉及一稿多投;
  • 文章字數不少于7000字;
  • 參賽作品應具有實際應用價值,而不應是枯燥的理論,沒有人對理論感興趣;
  • 參賽作品應使用正確的格式、拼寫和標點符號;

XSS規則還包括一些關于完美文章的指導:理論+實踐+現場實例+您的意見/經驗+材料專題分析+截圖+視頻演示。

這些規則對于任何參加過CFP會議的人來說都很熟悉,這表明犯罪論壇正在尋求使他們的競賽合法化和專業化。

贊助商

多年來,知名犯罪組織的杰出成員贊助了多場Exploit和XSS競賽,他們包括All World Cards和LockBit等。

最近一次Exploit競賽的贊助商是一個名叫”CryptoManiac“的用戶,他貢獻了1.5萬美元,但論壇管理員自己掏了大部分錢,他們寫道:“論壇撥款10萬美元,贊助商也有意增加獎金,在此特別向他們表達感謝。”

XSS 2022年競賽的贊助商是一個名叫“Alan Wake”的威脅行為者,他之前曾被LockBit指控為Conti和Black Basta勒索軟件組織的領導者。

【圖3:XSS管理員感謝競賽的贊助商Alan Wake】

除了這些獎金之外,管理員還表示,

“如果你的贊助商喜歡你的文章,比賽結束后,你將能在Alan Wake團隊獲得一份高薪的工作。”

投票

Exploit和XSS都聲稱運行一個民主的程序來選擇競賽獲勝者。符合要求的作品(不符合要求的作品將被取消資格)將進行公開投票,并邀請所有論壇用戶參與。

然而,這兩個過程似乎都缺乏透明度,也不清楚個人投票的分量有多大。Exploit管理員寫道:

“由于經常出現欺詐和投票作弊的情況……最終決定將由論壇團隊和我做出,不過,我們肯定會考慮一般投票的結果。”

而在XSS論壇上,管理員會自動刪除觀察到的“可疑和作弊選票”。此外,管理員和發起人的投票占比較重。

這兩個競賽都會將投票結果公開給所有用戶。

【圖4:Exploit競賽投票】

參賽條目 

兩個論壇在最近的比賽中都收到了類似數量的參賽作品:Exploit上有35個(有3個個人獎項,外加5個榮譽獎),XSS上有38個(不包括10個不合格的參賽作品,設有7個個人獎項)。

雖然Exploit競賽的主題是專門圍繞加密貨幣,但XSS的主題更加多樣化,從社會工程和攻擊向量到逃避和騙局提案等。Cobalt Strike是一個熱門話題,七個獲獎作品中有三個關注的是經常被威脅行為者濫用的合法滲透測試工具。其他受歡迎的主題包括關于攻擊媒介和尋找漏洞的教程(8個條目);加密相關詐騙(6項);還有逃逸檢測(5項)。

接下來,讓我們看看兩個論壇排名靠前的條目。

Exploit獲獎條目

1.虛假區塊鏈:從想法到實現!

在Exploit最近的一次競賽中,獲勝的項目相對簡單——創建一個克隆版本的blockchain.com(使用GitHub存儲庫)來獲取憑據。作者必須克服幾個技術困難,例如配置克隆站點的授權例程,并設置反向代理以繞過跨域資源共享(CORS)機制,但是像這樣的克隆站點通常會像任何其他網絡釣魚或憑證收集站點一樣使用。因為目標是一個加密貨幣交換/錢包網站,這可能是一個有利可圖的攻擊。

【圖5:Exploit競賽中獲勝條目的屏幕截圖】

2. 首次代幣發行(ICO):無本萬利

第2名是另一種相對基本的攻擊,這次針對的是首次代幣發行(ICO)——一種為推出新加密貨幣籌集資金的方式。作者提供了一個關于尋找合適的ICO目標的教程(每月約有20000次觀看),然后給出了使用sqlmap等知名工具查找和利用SQL注入漏洞的說明,以便從數據庫中提取用戶數據和令牌。

3. 私鑰和錢包的提取

在Exploit競賽中排名第三的作品是一個關于創建網絡釣魚網站和通過Telegram處理敏感加密貨幣相關數據的教程。

榮譽獎:在一小時內從零開始編寫區塊鏈和加密貨幣

這是一個關于從頭開始創建加密貨幣的教程。值得注意的是,多年來一直有關于如何做到這一點的免費和公開的教程。

【圖6:“在一小時內從零開始編寫區塊鏈和加密貨幣”文章截圖】

榮譽獎:虛假區塊鏈API

這是一個稍微復雜的條目,本文提倡創建一個惡意庫,供“懶惰的開發人員”在制作加密貨幣應用程序時使用。該條目包括創建庫的建議和使其對開發人員有吸引力的技巧(免費、簡單、匿名、有用的功能,等等);如何編寫和隱藏庫的惡意組件(即如何攔截、加密和秘密處理敏感數據,如私鑰);以及如何處理由此產生的被盜數據。

榮譽獎:以比特幣為例的加密貨幣破解

這也是一個簡單的教程,這篇文章包括一個大規模掃描比特幣守護進程的指南,這些守護進程接受傳入的連接,然后強制它們訪問敏感數據。

【圖7:從“以比特幣為例的加密貨幣破解”文章中截取的代碼摘錄】

榮譽獎:我們把日志“榨干” 

在這篇文章中,作者討論了解析“日志”(可能是來自Redline或Raccoon Stealer等信息竊取器的日志,這些日志是被盜cookie,瀏覽歷史記錄和令牌的集合),以便找到特定于加密貨幣的信息。

【圖8:“我們把日志榨干”文章截圖】

榮譽獎:比特幣價格見頂:何時何地退出加密貨幣?

在這最后一項榮譽獎中,作者寫了一篇長達50頁的文章(迄今為止最長的條目),講述了如何以及何時出售比特幣。它深入研究了投資心理學、加密貨幣經濟學和市場周期,雖不包含任何特定于網絡犯罪的信息,但這些內容可能會引起持有和/或交易比特幣的威脅行為者的興趣。它還包括如何出售比特幣的技巧,例如,驚人的銷售,投資穩定幣或代幣化股票等等。

XSS獲獎條目

1. 20年的付款承兌問題

XSS競賽的獲獎作品概述了電子支付系統的漏洞。它討論了其中一些系統的架構,以及其中的典型漏洞——包括缺乏簽名驗證;長度擴展攻擊(length extension attacks);攔截和改變價格和貨幣信息(一種已經存在多年的技術);業務邏輯缺陷;溢出和負數錯誤等。它還提供了過去被利用的電子支付系統漏洞的一些案例研究。

【圖9:XSS競賽中獲勝條目的屏幕截圖】

這張特別的截圖是作者提供的證據,證明他們可以攔截并更改付費Telegram bot的付款金額。

這篇文章有兩個特別有趣的地方:1)它給讀者布置了“作業”,鼓勵他們自己嘗試各種攻擊;2)討論了XSS論壇本身的一個特定漏洞,即比特幣傳輸系統中的競爭條件允許用戶有效地憑空生成加密貨幣。

2. Remote Potato Zero和Cobalt Strike

排在第二的是一篇技術性更強的文章,據稱是基于作者攻擊Active Directory環境的經驗,在該環境中,Domain Users組的成員能夠通過RDP遠程連接到域控制器。作者試圖提升特權,在他們的文章中,他們認為Remote Potato與Cobalt Strike結合在一起,是在某些環境中實現這一目標的有效手段。

作者還討論了如何從Windows Defender隱藏Remote Potato,如何在不同的場景中使用它,以及它與其他工具(包括Ngrok和Socat)結合使用的效果。

【圖10:“Remote Potato Zero和Cobalt Strike”文章截圖】

3. 禁用Windows Defender(加上UAC繞過并提升到SYSTEM)

排名第三的條目包括如何操作特權令牌以禁用Windows Defender的教程。具體來說,作者概述了一種攻擊流程,包括通過UAC繞過獲得管理權限,通過竊取令牌并啟動進程升級到SYSTEM,然后禁用Defender。

4. 像專業人士一樣隱藏你的Cobalt Strike!

這篇文章是對隱藏Cobalt Strike的各種方法的深入技術研究。作者提倡的方法包括對Cobalt Strike的TeamServer使用Tor和OpenVPN、DNSCrypt、域名隨機化器和JARM隨機化器。作者還提供了修改Cobalt Strike源代碼和混淆信標的分步指南。

【圖11:“像專業人士一樣隱藏你的Cobalt Strike”的文章截圖】

5. Cobalt Strike A-Z

在另一篇與Cobalt Strike相關的文章中,作者討論了將DLL劫持與Cobalt Strike結合使用的效果。

6. 加密欺詐

排名第六的條目討論了濫用智能合約的標準,特別是如何創建智能合約來秘密提取受害者的代幣。它還涵蓋了分發惡意合約的各種方法,包括AirDrop、Discord、電子郵件和惡意廣告。

【圖12:來自“加密欺詐”文章的代碼】

7. NoSQL注入

在最后一個獲獎條目中,作者提供了NoSQL注入技術的入門知識,涵蓋它與SQL注入的區別,以及一些技術教程等。

其他值得注意的條目

Exploit 

1. “我們自己動手制作了一個硬件加密貨幣錢包”

這個條目特別值得注意,因為它是兩個論壇上唯一一個專門討論硬件的條目。作者提供了創建硬件加密貨幣錢包的指南,從理論到實踐,并附有CAD圖紙和照片。本文與網絡犯罪沒有太大關系,更多的是為了幫助用戶保護他們的資金,而不是不得不信任現成的錢包。

為了實現這一目標,作者還提供了許多與硬件錢包相關的OPSEC建議,以及與各種已知攻擊相關的信息,包括惡意固件更新;強制PIN碼;故障注入;供應鏈攻擊和監測。

【圖13:“我們自己動手制作了一個硬件加密貨幣錢包”文章中的照片】

2. 智能合約漏洞

這是一份關于智能合約和以太坊虛擬機(EVM)的入門書,以及如何創建基本合約的指南。作者討論了各種漏洞,包括訪問控制、提前運行、時間操縱、算術問題和重入,以及這些漏洞利用的案例。

【圖14:來自“智能合約漏洞”文章的截圖】

XSS 

BitTorrent僵尸網絡-從設計到實現

作為一個相對創新的條目,本文描述了僵尸網絡運營商面臨的一個問題——控制服務器也被關閉——并提出了一個解決方案:BitTorrent中的分布式哈希表(DHT)功能。

【圖15:“BitTorrent僵尸網絡—從設計到實現”文章中的圖表】

結語 

犯罪論壇的用戶正在設計、運行和參與研究競賽,這一事實表明,他們在尋求和促進創新,特別是在新的攻擊和逃避方法方面。著名的威脅行為者贊助這些競賽進一步證明,這是犯罪界廣泛領域的共同目標。值得注意的是,至少在一個案例中,過去的競賽已經成為知名威脅行為者組織的一種招募工具。

在比賽中,我們注意到人們對Web3相關主題的興趣越來越大,特別是加密貨幣、智能合約和NFT,以至于Exploit最近的比賽專門圍繞這個主題進行。然而,即使在最新的XSS競賽中——參賽者的范圍更廣——仍然有大量相關的參賽作品。

更普遍得是,在逃逸和特權升級等話題上似乎有相當數量的創新,特別是在增強或擴大Cobalt Strike等現有工具的背景下。

然而,總的來說,創新比我們預期的要少。即使是排名靠前的文章也往往沒有什么新穎的內容,有時只是一些基本的教程或指南,其中包含了已經公開的信息。當然,在我們看來,與許多著名的安全行業競賽和會議相比,原創性研究較少。

獲獎或排名靠前的作品要么相對簡單,具有廣泛的吸引力,要么專注于可以實際應用的技術,即使這些技術并不新鮮。事實上,這些條目是由作者的同行投票選出的,這可能反映了更廣泛的社區的偏好和優先事項。

當然,也有可能是威脅行為者并不熱衷于公開分享尖端的工具和技術,而是把他們最好的研究成果留給自己——也許是因為他們可以通過在現實世界的攻擊中使用它們來獲得更多的利潤,而不是參加比賽。

犯罪論壇上的競爭是一個長期存在的功能,雖然并不廣為人知,但很可能以某種形式繼續下去。但是,從最新進度來看,它們不太可能在不久的將來成為顛覆和創新的溫床。

xss
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接