趋势科技日前发布最新研究报告,聚焦近期大量勒索病毒攻击事件,深入分析背后错综复杂的网络犯罪供应链。过去两年由于需求急速增长,许多网络犯罪市场甚至有自己的“访问服务”(Access-as-a-Service,AaaS) 交易专区。
趋势科技资深威胁研究员David Sancho指出:“媒体与企业安全部门一直以来都只关注勒索病毒和恶意程序,但真正该优先处理的,是设法减缓初始访问中介 (initial access broker)所发动的攻击活动。而安全事件应变团队通常必须调查两起以上范围重叠的攻击链,才能找出勒索病毒攻击的源头,使得事件应变流程更为冗长复杂。通过监测访问中介的活动,团队能防患未然,避免企业网络访问权限遭偷窃、变卖,从源头阻断勒索病毒攻击者的供应来源。”
这项研究针对多个英语与俄语为主的网络犯罪论坛,分析自2021年一月至八月间900多笔上架的访问中介服务。以产业区分,教育是最常出现的主流市场,占所有服务广告的36%,制造业与专业服务以11%并居第二,比例不到第一名的三分之一。
报告并指出访问中介的三种主要类型:
●随机型卖家:只想快速获利,不会花太多时间取得访问权。
●专业访问中介:通常是经验丰富、技术娴熟的黑客,能提供各种公司的访问权,受到小型勒索病毒集团和组织青睐。
●线上商店:提供RDP与VPN凭证。这类专营商店只提供单一设备的访问,而非涵盖整个网络或组织。然而,他们提供简便、自动化的交易模式,让技术能力有限的网络犯罪者也能购买访问权,甚至能以位置、互联网服务供应商 (ISP)、操作系统、通信端口号、管理员权限或公司名称进行搜索。
多数访问中介提供的商品仅为一组登录凭证,来源可能包含:先前外泄的密码或密码散列的破解;遭入侵的僵尸计算机;遭恶意利用的VPN网关、网站服务器等安全漏洞;一次性随机攻击等。
这类服务定价依照访问类型 (单一设备或整体网络/企业)、公司目标年度营收、买家额外需执行的工作等而有不同。虽然取得RDP访问的价格最低仅有10美元,单一企业的管理凭证平均价格为8,500美元,有时甚至高达10万美元。
趋势科技建议企业单位留意已经公开的资料外泄事件,如果怀疑企业凭证可能遭外泄,要求所有用户重设密码;使用多因素验证 (MFA) 机制;监控用户行为;注意DMZ区内的活动,假设提供对外的服务 (如VPN、网络邮件、网络服务器等) 会持续遭受攻击,随时提高警觉;落实网络分割与微切分(micro-segmentation);实施密码政策最佳实务;创建一定层级的零信任架构。