勒索軟件即服務與IAB產業淺析

前言：

勒索軟件即服務Ransomware-as-a-Service (RaaS)是當前全球勒索軟件攻擊勢頭急劇上升的背景下出現一種服務模式。同其他Saas解決方案類似，RaaS模式已經成為一種成熟軟件商業模式。RaaS的出現大大降低了勒索攻擊的技術門檻，勒索軟件開發者可以按月或一次性收費提供給潛在用戶(犯罪組織)。這些犯罪組織，只需要購買勒索軟件來執行勒索攻擊，獲利后按比例支付贖金給勒索軟件供應商。然而隨著犯罪方式的演變，傳統的勒索方式需要犯罪者“親力親為”，即勒索團伙需要自己發送釣魚郵件或者自己尋找目標系統漏洞來植入勒索軟件，這樣大大消耗了時間和精力，RaaS組織需要更加直接的“大門”或者中間人去做入侵,于是 Initial Access Brokers(IAB)業務就變得活躍起來。

圖1- 勒索軟件即服務（RssS）產業模式圖

IAB產業現狀

IAB（Initial Access Brokers-初始訪問代理業務）是指攻擊者通過多種方式獲得的受害者網絡資產初始化訪問權限，而后將其出售給犯罪組織實施犯罪的中間人行為，犯罪組織通常為勒索軟件團伙或其附屬機構。“初始訪問權限”不僅泛指RDP、VPN、Webshell、SSH權限這些可以直接進入目標網絡的權限，還有一些未授權訪問的資產、數據庫資產、系統用戶的賬戶權限等，也包括可利用的企業系統、網絡設備，如Citrix、Fortinet、ESXI 和 Pulse Secure的歷史漏洞和權限。攻擊者可以將這些系統的權限放到黑客論壇售賣，有時候還可以多次售賣給不同勒索軟件組織，這些攻擊者可以和勒索軟件供應商形成供需關系，兩者通過匿名的IM通信，最后通過數字貨幣支付達成交易。通過黑客論壇，勒索軟件運營商組織可購買IAB后直接植入勒索軟件達成勒索目標，可以節省勒索組織在受害者網絡環境中入侵的時間和精力以及各種成本，這樣勒索軟件攻擊者可以將所有時間和精力集中在“改善”勒索軟件有效載荷和與他們的附屬機構協調操作上，同時可以在暗網論壇上指定需要的權限類型與目標行業，IAB的出現為RaaS提供了極大的便利。

圖2- RaidfForums上賣家出售數據庫信息的帖子

圖3- RaidForums上買家購買手機數據庫數據的帖子

在利益的驅動下，RaaS與IAB的交易越來越密切，值得關注的是：根據Digital Shadows統計，IAB交易的熱點行業權限top5 為零售行業、金融行業、科技行業與工業制造業(如醫藥制造)，科技行業的初始訪問代理權限平均價格最高為13,607 美元。

圖4- DigitalsShadows統計2020年IAB的熱點行業及價格

IAB初始訪問權限獲取方法

那么黑客通常是怎樣獲取有效的IAB的呢？我們結合威脅情報網站ke-la.com分析過IAB的幾個趨勢以及威脅情報網站curatedintel.org提供的資料，研究分析后歸納出如下圖所示的IAB初始權限獲取路徑圖。

圖5- IAB初始權限獲取路徑圖

通過上圖我們可以看到，IAB產業初始權限獲取方法主要分為以下幾個路徑：

1．以目標漏洞為途徑：攻擊者通過黑客搜索引擎來獲取受害者對外暴露的資產，之后進行ip探測，域名探測，端口開放探測（如RDP端口）以及漏洞掃描，類似于紅藍對抗中攻擊隊前期對目標的資產梳理和信息搜集，期間會用到各類黑客搜索引擎如Shodan、Censys，在確定目標資產后進行漏洞掃描，漏洞掃描過程主要探測是否存在一些知名軟件的歷史CVE漏洞，相關軟件產品如VPN產品SecureVPN、云桌面常用的Citrix軟件、虛擬化產品Vmware、微軟系列的Exchange、負載均衡設備F5以及路由器設備Cisco等。黑客一旦探測到相應產品存在的漏洞，就發起攻擊，攻擊成功后可獲取目標權限，之后可以進行內網橫向，植入后門等操作，最終獲取有效的初始訪問權限。具體使用到的漏洞如下圖所示。

圖6- IAB產業常用CVE漏洞

2. 以社會工程學為途徑：在信息竊取活動中主要以獲得目標門戶網站登錄相關的MFA驗證碼（多因子校驗的秘鑰或驗證碼）為主，攻擊方式不限于語音電話釣魚、短信釣魚、近源攻擊、偽造商業合作釣魚等一系列社會工程學攻擊，這些攻擊手段層出不窮，較為值得關注是電話釣魚，國外專注于人員安全意識培訓和釣魚模擬攻擊服務的公司Terranova有總結到相關社工策略：“第一種常見的策略是一些網絡犯罪分子使用強硬的語言，表示他們正在幫助受害者避免刑事指控；第二種常見的策略是犯罪分子留下威脅性的語音郵件，告訴收件人立即回電，否則受害者可能會被逮捕，銀行賬戶被關閉，或者會發生更糟糕的事情。在網絡犯罪分子使用威脅和令人信服的語言下讓受害者覺得別無選擇，受害者只能提供犯罪分子想要的信息。”

圖7- Terranova對Vishing的解讀

3. 以售賣信息的地下市場為途徑：使用在地下市場上出售的用戶信息獲得訪問權限，黑客通過著名論壇OGuser購買到關于受害者目標用戶身份的訪問權限后嘗試登錄受害者的相關網站。

 圖8- OGuser上的賬戶交易服務

4. 以第三方數據泄露為途徑：使用來自第三方數據泄露的憑證獲取訪問權限，拿到相關泄露數據后，與上述第三種方式不同，第三方泄露數據需要“二次加工”，可以通過密碼噴灑，撞庫攻擊，暴力破解等方式嘗試登錄受害者系統來獲取目標系統訪問權限。

圖9- DeHashed論壇數據泄露交易

5. 使用網絡釣魚活動獲取訪問權限：以郵件釣魚為主，通過惡意郵件投遞一些惡意軟件，如RedLine Stealer (RedLine Stealer是一種惡意軟件，該惡意軟件從瀏覽器收集信息，例如保存的憑據：自動填充的數據和信用卡信息等)，Vidar( Vidar是一種基于Arkei 的分叉惡意軟件)，Taurus(Taurus是一種基于C/C++實現的信息竊取惡意軟件),LokiBot(也稱為 Lokibot、Loki PWS和Loki-bot，使用特洛伊木馬惡意軟件來竊取敏感信息，例如用戶名、密碼、加密貨幣錢包和其他憑據)等，這些釣魚方式大部分都是以惡意文檔為載荷,當受害者打開文檔后利用宏去執行或下載被加密后的Shellcode，之后建立C2信道進行長期控制竊取信息，相關細節如下圖。Malpedia對這些軟件都有解釋和記錄，有興趣同學可在Malpedia上查詢。黑客在受害者不小心中招了相關惡意軟件后可直接獲得目標的初始訪問代理權限。

圖10- 國外對MaliciousSpam 釣魚技術解讀

圖11- Trickbot的郵件木馬執行過程

（圖片來源：Hornetsecurity）

6. 以內部威脅為途徑：內部員工直接就有內部IT系統訪問權限，心懷不軌的員工可以拿公司的權限或數據到論壇進行販賣或用于其他意圖。

 “IAB”下企業如何做好防范措施

1. 外部資產安全：攻擊者先通過信息搜集，通過漏掃工具進行漏洞掃描或者通過第三方泄露數據進行撞庫攻擊，根據這些攻擊方式，企業外部安全要做到:

 (1) 及時發現和修護系統漏洞，做好系統加固與升級，做好邊緣資產的收束，非必要服務與端口不對外開放。通過“監控”第三方網站如Github，及時查看哪些員工數據遭到了泄露，避免有“強弱口令”和無風控機制下的系統出現問題；

 (2) 系統與設備上線前要做好安全審計與安全測試，規避帶著“問題”上線而遭受黑客攻擊。

2. 內部安全建設：從攻擊者社工相關攻擊路徑來看，攻擊者通過攜帶惡意后門，廣撒網方式來進行郵件釣魚，以及遭受“內鬼”的威脅，因此內部安全建設要做到：

（1）離職人員的賬戶權限要及時清除，員工訪問內網系統的權限要進行嚴格隔離，不同層級的網絡也要做好隔離；

（2）對員工做安全意識培訓，防止員工中招郵件釣魚以及其他社會工程學的攻擊；

（3）日志系統的建設與健全：入侵后可以通過日志及時查漏補缺；

（4）安全設備的安裝盡量覆蓋所有終端，這樣可以抵擋大部分病毒與木馬的威脅，可以有效防止黑客橫向移動與權限提升等后滲透行為，及時更新病毒庫可以有效防止黑客利用NDay攻擊。

3. 威脅情報建設：攻擊者通過在各大論壇出售與企業相關的數據與權限，因此企業需要做到：

(1)及時從外部論壇，威脅情報網站等獲取企業威脅信息，做好風險控制，及時關注最新安全態勢；

(2)密切關注IAB和三方數據泄露的動態，防止數據與權限被出售后對企業形成“二次”傷害。

4. 數據備份與容災:如果上述所有防線均被突破，那么平時做好數據備份與容災工作，建立完善的災備機制，擁有良好的數據權限隔離方案，可以有效防止業務系統數據被加密后無法解密的尷尬局面出現。