外部攻擊面管理(EASM)實踐——暗網威脅可視性報告
“暗網”是業界比較回避的話題,但是暗網的威脅卻是真切存在的。無論是犯罪分子、商業黑客,還是國家資助的某些團體,都以各種動機,在暗網中以匿名的形式買賣、招募、雇傭各類數據、情報、資源和服務。其對相關企業的威脅巨大,它們可能是直接經濟損失,也可能是名譽和品牌影響,甚至可能是黑客針對企業VIP攻擊的重要環節。
外部攻擊面管理(EASM)的擴展情報能力之一,即為企業提供暗網威脅的可視性,以協助企業制定針對性計劃。為了方便說明,本文僅將視角聚焦在“暗網市場”領域,并且僅從宏觀描述與網絡安全有關的信息,不涉及任何技術、犯罪信息、匿名社交(例如Telegram等)、隱私數據和交易等其他部分。文中涉及金額部分,如無特別說明,單位均為人民幣。
1、暗網中有哪些數據和服務?
- 個人隱私數據包
- 銀行卡數據
- 網絡攻擊工具包
- 系統/主機遠程訪問權限
- DDoS服務
- 身份證和護照等服務
2、個人隱私數據包
個人隱私數據包,是暗網交易市場中最受歡迎的商品,它們也被稱為“Fullz”,同時也是攻擊者慣用的“社工庫”的重要組成部分之一。它包含一套完整的個人身份信息,這些信息足以進行自然人的唯一標識定位。它們通常包含:姓名、身份證號、家庭住址、生日等信息,有些販賣數據也包含微博賬號、郵箱地址、注冊ID等信息。通常一手信息的價格在每條數據幾元至幾十元不等(依據信息的完整程度),二手信息的價格大約是一手信息的1/100至1/10左右。而如果是包含了以上個人信息、以及銀行卡號、手機號、密碼等完整數據的信息包,每條數據的價格會達到幾十至幾百元。
以下為部分國外高價值個人隱私數據在暗網交易市場中的價格(含銀行支付密碼,并可登錄):
在暗網市場中,同樣充斥著國內各行業和企業泄露的各類個人隱私數據。我們很痛心的發現,很多相關企業并未做出有效的補救措施。
我們很想呼吁:避而不談,并不代表不存在。
3、銀行卡數據
銀行卡數據,通常包含銀行卡的卡號、可用性信息、過期日期、持卡人姓名、余額等信息。這些數據與個人隱私數據包的用途不同,通常用于更批量化、更廣泛的轉存、詐騙、洗錢等惡意行為。這類數據的價格,往往與來源、國籍、余額等直接相關。一般拋售價格在每條真實數據幾十至幾百元之間。
以下為部分國外銀行卡數據在暗網交易市場中的參考售價:
這類數據,由于涉及到更廣泛的商業犯罪,無論是防范、追溯,都異常困難,其將會直接對相關企業和個人帶來經濟損失。
我們希望相關企業在暗網市場中發現該類數據時,在條件允許的情況下,能夠進行數據驗真(在暗網市場中,真假情報/數據參差不齊,其販賣數據有可能為假數據),以評估其相應的損失,并盡力補救,以減少對企業和個人帶來的影響。
4、網絡攻擊工具包
網絡攻擊工具包,主要包括勒索軟件、木馬程序、釣魚網頁等惡意軟件類攻擊程序。一個很有意思的點在于,很多網絡攻擊工具包提供的都是租賃服務,其價格大約在每天幾十至幾百元,每周大約數千元。它們都保持著很高的更新頻率,以逃脫防御軟件的規則限制,價格的區別主要在于工具包的功能、效果和更新頻率。
而提供攻擊工具包源代碼的價格會相對較貴,一般在數十萬元以上。
這些網絡攻擊工具包極大的降低了規模化網絡攻擊、以及定向網絡攻擊的難度,由于其便利性和較低的使用門檻,使得真實環境下的網絡攻防對抗(非攻防演練)變得更有利于攻擊者。由于某些APT組織的成員也在制作、租賃、販賣攻擊工具包,甚至已經有了攻擊低成本、平民化的趨勢。
5、系統/主機遠程訪問權限
Windows的專有協議——遠程桌面協議(RDP)曾經是攻擊者經常使用,并在暗網市場中非常受歡迎的,現在它已經拓展到全部對于Windows、Linux、UNIX、MacOS、iOS和安卓的遠程控制權限。
攻擊者可以利用遠程控制訪問來執行一系列攻擊行為,包括賬戶接管攻擊(ATOs)、竊取信用卡信息、支付欺詐,以及用來隱藏攻擊者源頭等。在不同深網和暗網交易市場上售價也不盡相同,從幾十元至幾千元不等,價格受國別影響較小。
獲得訪問權限的網絡犯罪分子,除了能夠輕松發起外部攻擊并在網絡內橫向移動外,犯罪分子還可以利用被入侵的系統植入惡意軟件、滲透數據和操作網絡設置等。總體而言,其帶來的損害是難以估量的。
6、DDoS服務
深網和暗網上的DDoS租賃服務和網絡攻擊工具包一樣,在很大程度上降低了攻擊者發動攻擊的技術壁壘。這種DDoS服務近幾年越來越受到攻擊者的歡迎,他們利用DDoS實施攻擊的原因各不相同,有人是為了博取關注或是報復游戲作弊行為,而部分人的動機是為了進行網絡勒索、政治干涉、破壞競爭對手的網絡等。
租憑DDoS服務根據帶寬和攻擊持續時間的要求不同,售價通常在每天一百元到幾百元不等。除此之外,能夠發動更大范圍攻擊的定制化DDoS服務價格基本都在千元以上。
雖然現在市面上已有許多針對DDoS攻擊的緩解和防御技術,但仍然不能做到萬無一失。如今,按小時收費的DDoS出租服務越來越受到攻擊者和暗網交易市場的歡迎。
7、身份證和護照等服務
在深網和暗網中出售的身份證和護照等證件主要有三種類型,分別為證件掃描件、證件模板和實體證件。其中證件模板允許買家自行輸入或修改身份信息,從而達到偽造身份證件的目的。而這三種類型的偽造證件,在暗網和深網中兜售的價格也各不相同。實體證件最貴,價格在三千元至兩萬元之間,掃描件則便宜許多,通常售價在七十元到兩百元之間。
以下表格中的價格為在暗網和深網中出售的由政府簽發的護照和駕照的價格。
偽造證件可以用來隱藏身份,欺詐等犯罪行為。如果網絡犯罪分子利用在暗網和深網中泄露的企業組織重要人員信息來偽造身份證件,不僅會威脅企業財產安全,同時也給企業網絡安全運營帶來極大的不確定性。(本文作者:零零信安 王宇)
