每年都會有大量的公司發生重大數據洩露事件,例如 2022 年 Medibank 和 Optus 的數據洩露、Twitter 的數據洩露、Uber 和 Rockstar 的數據洩露以及 2023 年 T-Mobile、MailChimp 和 OpenAI 的數據洩露。在 2022 年,卡巴斯基實驗室列出了全球 700 家來自不同行業的公司,然後在暗網上搜索,試圖分析這些公司遭受攻擊的可能性有多大?
研究發現,暗網裏的帖子都是關于出售受攻擊帳戶、内部數據庫和文檔,以及訪問公司基礎設施。雖然暗網确實促進了各種數據類型的銷售,例如,銀行卡信息、駕駛執照和身份證照片等,但本文重點還是放在了與企業特别相關的信息上。研究發現 700 家公司中有 223 家在暗網上被提及,洩露數據的主題也不同。
各行業分布
這意味着三分之一的公司在與銷售數據或訪問相關的暗網帖子中被引用,即使是網絡安全成熟度高的公司也避免不了被黑客攻擊。
本文提供了一個統計概述,包括所有暗網帖子,涉及 2022 年 1 月至 2023 年 11 月期間出售、購買或免費傳播受攻擊帳戶的數據。
數據洩露
數據洩露會暴露機密、敏感信息,并可能導緻重大問題。最常見的例子是數據庫和内部文檔,因爲所有有一定規模的公司都使用機密數據,洩露會影響公司本身、員工和客戶。
暗網上每月大約有 1700 個新的帖子出現,涉及銷售、傳播或購買洩露數據。
2022 年 1 月至 2023 年 11 月與數據庫出售 / 購買相關的消息數量
應該注意的是,并不是每條消息都代表一條最新出現的洩漏,其中有些是重複的廣告相同洩漏。
一個組合報價的示例
另一種流行的洩露類型是收集公共數據的數據庫,如姓名、個人資料、id 和電子郵件,這些數據來自流行的社交網絡。它們是開發攻擊的寶貴來源。2021 年,超過 7 億 LinkedIn 用戶和 5.33 億 Facebook 用戶的個人信息被抓取并發布在暗網上。
洩露的 LinkedIn 數據庫分布示例
基礎設施的訪問
以下是網絡攻擊者獲取企業基礎設施初始訪問權限以進行攻擊的最常見行爲:
1. 利用軟件漏洞。例如,對企業 web 資源的攻擊,利用跨網站組件的 1 日漏洞,SQL 注入,訪問易受攻擊的 web 應用程序控制面闆等。
2. 獲得合法的公司證書。例如,使用竊取日志中的數據或密碼挖掘。
3. 針對員工的網絡釣魚攻擊。例如,帶有惡意負載的電子郵件。
特别要提的是盜用合法賬戶的方法。這些駐留在受感染設備中的惡意程序收集各種帳戶和支付數據、cookie 文件、授權令牌等,并保存到日志中。網絡攻擊者掃描這些日志,尋找他們可以利用和賺錢的數據,一些人在尋找信用卡數據,另一些人在尋找域名賬戶,社交網絡賬戶等,他們把這個階段稱爲加工。在整理完日志後,他們要麽在論壇上公開交換自己的發現,要麽把它們賣給個人買家。
關于漏洞 ( 例如 SQL 注入 ) 和合法憑據 ( 例如 RDP/SSH ) 的信息,對于收入可觀的公司來說,定價會非常不同,因爲它們提供了不同的成功攻擊概率。出售帳戶以訪問遠程管理接口 ( RDP、SSH ) 意味着已經獲得了對公司網絡基礎設施系統的訪問權限,而漏洞僅僅提供了實現類似級别訪問的機會。即使涉及到同樣的問題,比如 SQL 注入,也有許多因素影響攻擊的潛在發展,比如易受攻擊的主機位置 ( 例如,公司網絡或雲服務器 ) ,預期的漏洞利用技術,數據庫容量等,
基礎設施訪問受歡迎的原因很簡單,複雜的攻擊幾乎總是包括幾個階段,例如偵察、對基礎設施的初始訪問、獲得對目标系統或特權的訪問,以及實際的惡意行爲 ( 數據盜竊、破壞或加密等 ) 。不同的階段需要不同的專業知識,因此網絡攻擊者往往具有專業知識,容易獲得訪問權限的人可能在攻擊的發展中面臨困難。在這種情況下,購買初始訪問權限簡化了攻擊,對于經驗豐富的網絡罪犯來說很劃算。
對于希望降低與基礎設施訪問銷售相關的風險的企業來說,第一個挑戰是了解銷售情況。與其他類型的數據相比,這種數據類型的巨大區别在于,網絡攻擊者不喜歡在消息中提及公司的名稱,以免失去訪問權限,即使有人提到了名字,社區也會建議他們不要分享多餘的信息。
對提供出售的帖子發表評論
在這種情況下,如何跟蹤此威脅?網絡攻擊者通常會在信息中加入一些屬性,比如地理位置、行業、公司規模和年收入。
一些帶有公司屬性論壇消息的示例
在 2022 年,研究人員發現了大約 3000 個獨立的基礎設施項目,到 2023 年 11 月,我們已經找到了超過 3100 份報價。通常,被黑客攻擊的企業基礎設施包括企業 VPN 服務的帳戶和内部網絡中的一些服務器或主機 ( 通常,訪問是通過 RDP 或 web shell 執行的 ) 。
2022 年 1 月至 2023 年 11 月提供的基礎設施訪問的消息數量
賬戶被盜
還有另一類數據是獲得初始訪問權限的真正發現,受攻擊帳戶。根據來源,研究人員将所有受攻擊賬戶分爲三類:
1. 在網絡威脅組織中自由傳播的公開秘密。
2. 在黑客論壇和私人聊天中出售的具有有限訪問權限的漏洞,有時這些隻是包含未經驗證的信息的小型數據庫。
3. 在暗網論壇上發布的惡意軟件日志中洩露的用戶賬戶。由于 REDLINE 和 VIDAR 這樣的信息竊取程序,這些憑證變得可用,現在可以通過惡意軟件即服務在網絡犯罪社區中輕松訪問。
乍一看,網絡攻擊者沒有理由免費共享憑證。然而,如果他們不再需要這些數據,并希望在特定的暗網論壇上提高他們在網絡犯罪社區中的比率,他們仍然可以這樣做。此外,他們還可以發布一些包含受攻擊帳戶的惡意軟件日志文件,以進行下一次銷售。
這三種類型的證書洩露都對公司造成了威脅,有些員工不顧禁令,使用公司電子郵件地址在第三方網站上注冊。在典型情況下,公司員工對外部服務和公司資源使用相同的密碼,有助于網絡攻擊者未經授權便訪問公司基礎設施。