去年10月,网络安全和杀毒软件公司卡巴斯基曾发布报告表示,暗网销售的漏洞利用程序中有半数为零日漏洞,最近,卡巴斯基对暗网开展了最新研究,并做出预警:随着受数据窃取恶意软件感染的设备数量激增,数百万张借记卡和信用卡信息在暗网上泄露。
卡巴斯基数字足迹情报中心最新发布的报告称,根据对2023年至2024年数据窃取恶意软件日志文件的分析估计,有230万张银行卡信息在暗网上泄露。
平均而言,每14起信息窃取程序感染就会导致一张信用卡信息被盗。卡巴斯基数字足迹情报专家发现,过去两年内,近2600万台运行Windows的设备感染了各种类型的信息窃取程序。
卡巴斯基数字足迹情报专家谢尔盖·谢尔贝尔(Sergey Shcherbel)称,被信息窃取程序感染的设备实际数量很可能更高。
“实际受感染设备的数量甚至更高。网络犯罪分子通常会在最初感染数月甚至数年后以日志文件的形式泄露被盗数据,而受损凭证和其他信息会随着时间的推移不断出现在暗网上。因此,随着时间的推移,我们观察到的感染数量与前几年相比就越多。我们预测,2024年感染信息窃取恶意软件的设备总数将在2000万至2500万台之间,而2023年的估计数字将在1800万至2200万台之间。”
该网络安全公司表示,名为Redline的信息窃取恶意软件是数据窃取恶意软件中最普遍的一种,占2024年总感染量的34%。而Risepro是另一种快速传播的信息窃取恶意软件,主要专注于窃取银行卡详细信息和密码。
“2024年最显著的增长是Risepro引起的感染,其在总感染中所占的比例从2023年的1.4%增加到2024年的近23%。”
据卡巴斯基称,Risepro信息窃取程序是一个日益严重的威胁。它是两年前首次发现的,但似乎正在获得发展势头。该窃取程序主要针对银行卡详细信息、密码和加密货币钱包数据,并可能以密钥生成器、各种软件破解程序和游戏模组的幌子传播。
另一个快速增长的窃取程序是Stealc,它于2023年首次出现,其份额从近3%增加到13%。
网络攻击从未如此普遍,也从未如此复杂。当大量获取的数据在暗网上出售时,监控互联网的这一阴暗部分从未如此重要,卡巴斯基建议,如果遇到信息窃取者的数据泄露,应立即采取以下步骤:
如果用户怀疑自己的银行卡信息被泄露,请立即采取行动:监控银行通知、重新发卡并更改银行应用程序或网站密码。启用双因素身份验证和其他验证方法。一些银行允许设置消费限额以增加保护。如果账户和余额信息被泄露,请特别警惕网络钓鱼电子邮件、欺诈性短信和电话。网络犯罪分子可能会根据这些信息将用户视为有针对性攻击的受害者。在不清楚的情况下,请直接联系用户的银行。 更改被盗用的账户密码并监控与这些账户相关的可疑活动。 对所有设备运行全面的安全扫描,删除任何检测到的恶意软件。 建议企业主动监控暗网市场,以便在被盗账户对客户或员工构成风险之前发现它们。 根据以上建议,“暗网下/AWX”也希望个人和企业监控银行通知,启用双因素身份验证,并在所有设备上运行全面的安全扫描,以保持对此类恶意软件威胁的警惕。
如果暗网监控能够发现泄露的数据或潜在的攻击,企业可以迅速采取行动来保护内部系统。这可以降低泄露数据被恶意使用的风险,并降低未来发生安全事件的可能性,因为企业可以制定更好的网络安全和事件响应策略。
卡巴斯基发布最新研究报告,称在2023年1月至2024年9月期间,卡巴斯基数字足迹情报专家发现了547个针对软件漏洞的漏洞利用程序的购买和销售清单。
这些广告发布在各种暗网论坛和影子Telegram频道上,其中一半涉及零日(0day)漏洞和一日(1day)漏洞。
然而,由于暗网市场充斥着各种骗局,因此很难确认这些漏洞是否能正常使用。此外,卡巴斯基还发现,远程代码执行漏洞的平均成本高达10万美元。
漏洞利用是网络犯罪分子利用各种软件程序(例如微软的软件程序)中的漏洞进行非法活动(例如获取未经授权的访问或窃取数据)的工具。
超过一半的暗网帖子(51%)提供或寻求购买0day漏洞或1day漏洞的利用程序。0day漏洞针对的是软件供应商尚未识别和修补的未发现漏洞,而1day漏洞则针对的是未安装补丁的系统。
“漏洞利用可以针对任何程序,但最理想和最昂贵的漏洞利用通常针对企业级软件。这些利用工具使网络犯罪分子能够进行网络攻击,这相当于为他们带来可观的收益,例如窃取企业信息或在不被发现的情况下监视企业。
然而,暗网上的一些漏洞利用优惠可能是虚假的或不完整的,这意味着它们无法像宣传的那样发挥作用。此外,很大一部分交易可能是私下进行的。
卡巴斯基数字足迹情报高级分析师安娜·帕夫洛夫斯卡娅(Anna Pavlovskaya)解释道:“这两个因素使对功能性漏洞的实际市场容量的评估变得复杂。”
暗网市场提供各种大量不同类型的漏洞利用程序。其中最普遍的两种是RCE(远程代码执行)漏洞和LPE(本地权限提升)漏洞。
根据对20多个列表的分析,RCE漏洞的平均价格约为10万美元,而LPE漏洞的价格通常约为6万美元。RCE漏洞被认为更危险,因为它们允许攻击者远程控制一个系统或其组件,或者远程获取机密数据。
今年,漏洞销售和购买的峰值出现在5月份,相关暗网帖子数量达到50个,而漏洞买卖激增的高峰期前后,平均每月约有26个相关帖子。“漏洞市场活动的峰值难以预测,很难与特定事件联系起来。
Anna Pavlovskaya详细说明:“有趣的是,5月份,暗网上出现了分析期间最昂贵的漏洞利用程序之一的出售——据称,微软Outlook零日漏洞的价格接近200万美元。”
“总体而言,漏洞市场保持稳定;虽然活动有所波动,但威胁始终存在。这凸显了采取网络安全措施的必要性,例如定期修补和监控暗网上的数字资产。”
”暗网下/AWX“援引卡巴斯基的观点,为了应对与漏洞和利用相关的威胁,以下措施是有效的:
使用暗网监控服务来监测市场是否存在任何相关的网络威胁。 拥有强大的端点保护功能,使用来自值得信赖的安全厂商商的EDR和XDR来增强企业的安全性。 定期进行安全测试,以识别并修补漏洞,防止其成为攻击者的入口点。
早在2021年,暗网市场就在售卖用于人脸识别的伪造护照、身份证件,而且出现了早期的深度伪造。如今,恶意使用深度伪造技术对企业构成的威胁与日俱增。
网络安全公司卡巴斯基(Kaspersky)警告说,由于人工智能工具的广泛使用,威胁行为者在攻击中使用深度伪造(Deepfake)技术变得越来越容易安全。
卡巴斯基非洲企业客户负责人Bethwel Opil 表示:“虽然发起这些攻击所需的时间和精力往往超过了其潜在的‘回报’,但卡巴斯基警告说,非洲各地的公司和消费者仍然必须意识到,深度伪造在未来可能会成为一个更令人担忧的问题。深度伪造的恶意使用潜力是显而易见的。“
“从勒索到实施金融欺诈,再到通过社交媒体传播错误信息,潜在的连锁反应可能会很严重。网络犯罪分子始终在寻找更便宜、更快捷的方法来传播他们的活动。不过,我们预计在未来几年内,使用深度伪造的定向攻击将会增加,尤其是针对有影响力的人士和高净值个人或组织的攻击,这将证明攻击者创建深度伪造所花费的时间和精力是值得的。”
暗网上的深度伪造服务 卡巴斯基研究发现,暗网市场上存在深度伪造制作工具和服务。这些服务为各种目的提供GenAI视频创建服务,包括欺诈、勒索和窃取机密数据。据卡巴斯基专家估算,一分钟深度伪造视频的价格约为300美元。
人类的行为、数字素养的缺乏以及无法区分虚假与合法材料,都给本已困难重重的局面增添了压力。
2023年卡巴斯基的商业数字化调查收集了中东、土耳其和非洲地区2000名受访者的意见,调查结果显示,51%的员工认为他们能够区分深度伪造图像和真实图像。然而,在一项测试中,只有25%的人能够区分真实图像和人工智能生成的图像。
卡巴斯基表示,鉴于企业员工往往是网络钓鱼和其他社会工程学攻击的主要目标,这给企业带来了严重的风险。
深度伪造被恶意利用的可能性是显而易见的。
例如,网络犯罪分子可以制作首席执行官请求电汇或授权付款的虚假视频,这可用于窃取公司资金。此外,犯罪分子可以创建具有危害性的个人视频或图像,用于向他们勒索钱财或信息。
Opil补充说:“尽管创建高质量深度伪造的技术尚未广泛应用,但最有可能的用例之一是实时生成声音来模仿某人。例如,一家跨国公司的一名财务人员最近就因为在一次电话视频会议上冒充公司首席财务官的深度伪造技术而被骗向诈骗分子转账2500万美元。非洲也不能幸免于这种威胁,重要的是要记住,深度伪造不仅对企业构成威胁,而且对个人用户也构成威胁——它们传播错误信息、被用于诈骗或未经同意冒充他人,是一种日益严重的网络威胁,必须加以防范。”
卡巴斯基建议通过以下方式加强防范:员工意识教育 公司建议通过教育员工了解深度伪造、其工作原理及其带来的风险,来加强防范。这涉及持续的意识和教育,努力教导员工如何识别深度伪造。
卡巴斯基数字足迹情报服务近日发布的一份报告发现,在2023年,有近3000个暗网帖子在讨论如何使用ChatGPT和其他大型语言模型(LLM)进行非法活动。
这些讨论包括创建聊天机器人的恶意替代品、越狱(突破语言设置的恶意使用限制)技术、恶意提示列表以及有关如何滥用这些工具的其他一般对话,以及讨论可访问ChatGPT付费版本的被盗帐户的帖子。
主要见解 卡巴斯基的数字足迹情报服务在2023年发现了近3000个暗网帖子,讨论涉及ChatGPT和其他大型语言模型(LLM)的非法活动。
其中包括创建恶意版本、越狱技术、有害提示列表以及有关被盗帐户的讨论。
暗网上的威胁参与者积极分享有关利用ChatGPT的知识,讨论创建恶意软件、使用人工智能处理用户数据转储以及共享越狱以绕过内容审核策略等主题。
研究还发现,围绕WormGPT、XXXGPT和FraudGPT等工具进行了大量讨论,这些工具被作为ChatGPT的替代品销售,限制较少。
卡巴斯基的研究发布前不久,OpenAI暂停了一名开发者的资格,原因是他创建了一个模仿美国国会议员迪恩·飞利浦(DeanPhilips)的聊天机器人。该组织表示,这一行为违反了其关于政治竞选或未经同意冒充个人的规则。
ChatGPT如何被利用?主要发现 虽然企业和消费者将ChatGPT作为改善日常生活的工具,但威胁行为者正在尝试利用它来攻击毫无戒心的个人和组织。
在随附的研究博客上分享的一系列帖子中,可以看到暗网用户讨论如何使用GPT创建可以修改其代码的多态恶意软件,以及如何使用人工智能(AI)处理用户数据转储。
另一位用户分享了著名的ChatGPT的“Do Anything Now“(DAN)越狱,旨在绕过OpenAI的内容审核政策。研究发现,在2023年,暗网上有249项分发和销售提示信息的提议。
总的来说,这些发现不仅凸显了ChatGPT可能被滥用,而且还表明网络犯罪分子正在积极分享如何利用它的知识。正如一位匿名用户评论的那样,“AI帮了我很多,GPT-4是我最好的朋友。”
卡巴斯基数字足迹分析师阿丽萨·库利申科(Alisa Kulishenko)表示:“威胁行为者正在积极探索实施ChatGPT和人工智能的各种方案。”
“主题通常包括恶意软件的开发和其他类型的非法使用语言模型,例如处理被盗用户数据、解析受感染设备中的文件等。
“人工智能工具的普及导致ChatGPT或其同类工具的自动响应被集成到一些网络犯罪论坛中。”
“此外,威胁行为者倾向于通过各种暗网渠道分享越狱信息(可以解锁附加功能的特殊提示集),并设计出利用基于模型的合法工具的方法,例如基于恶意目的模型的渗透测试工具。”
到目前为止有什么风险? 虽然库里申科认为“生成式人工智能和聊天机器人不太可能彻底改变攻击格局”,但这项研究表明,威胁行为者对利用这项技术达到自己的目的产生了浓厚的兴趣。
到目前为止,生成式技术最大的风险似乎来自于他们创建网络钓鱼电子邮件的能力。例如,网络安全供应商SlashNext于2023年11月发布的一项研究发现,自2022年第四季度ChatGPT发布以来,恶意网络钓鱼电子邮件增加了1265%。
尽管OpenAI等供应商已尝试使用内容审核策略来阻止ChatGPT产生恶意输出,但事实证明这些策略不足以防止滥用,而且很容易通过越狱和其他技术来规避。
简要测试下ChatGPT的内容审核功能,要求ChatGPT生成一封网络钓鱼电子邮件,“作为网络钓鱼防范意识计划的一部分”,通过该电子邮件可以说服收件人更新其在线帐户支付详细信息,聊天机器人对此做出了回应,生成了一封基本的钓鱼邮件。
现实情况是,如果有人想恶意使用LLM,他们有很多变通办法可以做到这一点。
底线 该研究强调,暗网正热衷于使用人工智能来自动化网络攻击。尽管不必惊慌,但必须认识到网络犯罪有可能增加。
如果黑客论坛和其他地下社区继续就如何恶意使用这项技术进行合作,网络犯罪将不可避免地增加。
如今,人工智能初创公司已超过67000家,谁知道这条崎岖的道路将会把人类带向何方?
全球每年都会发生大量重大数据泄露、新的最大的数据泄露和黑客事件,引起媒体的广泛关注(例如Medibank、Optus、Twitter 的数据泄露以及2022 年的 Uber 和 Rockstar 的数据泄露以及 2023 年的T-Mobile、MailChimp和 OpenAI) 。
卡巴斯基在 2022 年创建了一份包含全球 700 家公司的名单,这些公司来自不同行业:工业、电信、金融、零售等。然后卡巴斯基在暗网中进行搜索,试图回答“这些公司遭受破坏的可能性有多大?”的问题。
卡巴斯基实验室的随机抽样显示,全球大约每三家公司中就有一家的被盗数据在暗网上出售。在近两年的时间里,他们发现了近 40000 条提供购买、出售或交换被泄露公司数据的信息。
在暗网上出售公司基础设施访问权对公司的威胁越来越大。与前一年相比增加了 16%。
40000 条数据泄露信息 2022 年 1 月至 2023 年 11 月期间,卡巴斯基数字足迹情报中心在论坛、博客和 Telegram 聊天工具的频道中发现了总计约 40000 条围绕公司内部数据库和文件交易的信息。然而,Telegram 通常被认为是聊天工具,不属于暗网的一部分。
大小公司都面临危险 有些邮件甚至提供了对公司基础设施的访问权限。卡巴斯基专家在近 24 个月的时间里发现了 6000 多条此类邮件。而且这一趋势仍在上升。从去年到2023年,每月此类信息的平均数量增加了16%,从246条增加到286条。 关于2024年的供应链攻击威胁预测,小公司的数据泄露也可能对全球大量个人和公司造成重大影响。
卡巴斯基专家还分析了这些访问权限被卖给了哪些公司。为此,他们随机选择了与2022年公司数据泄露有关的700家公司。这些公司出现在暗网上的 233 个帖子中。这些帖子明确提到了数据泄露、基础设施访问权限被盗或账户被黑。
并非暗网上的每条泄密信息都很重要 卡巴斯基数字足迹智能公司的专家 Anna Pavlovskaya 解释说:“并非暗网上的每条信息都包含新的或独特的信息。”有些提议是可以重复的。例如,如果网络犯罪分子想特别快速地出售数据,他们就会在各种地下论坛上发布广告,以便接触到更多的潜在买家。此外,某些数据库可以合并后再次出售。例如,这种合并报价汇总了以前泄露的各种数据库中的信息,如电子邮件地址的密码。
另一方面,价值较低的数据则会被泄露出去,以便在论坛中获得大家的认可。比如,在明网与暗网均有镜像的英文论坛Breachforums,有许多公开下载的数据。
数据泄露 数据泄露会暴露机密、敏感信息,并可能导致重大问题。最常见的例子是数据库和内部文档,因为每个规模的公司都使用有价格的机密数据。泄密可能会影响公司本身、员工和客户。
根据卡巴斯基 DFI 门户网站的数据,暗网上每月会出现约 1700 个与销售、分发或购买数据泄露相关的独特帖子。
应该注意的是,并非每条消息都代表唯一的最新泄漏。其中一些是针对同一泄露内容的重复广告,有些数据库可以按国家/地区合并或划分。
其他流行的循环泄漏类型是从流行的社交网络中删除公共数据的数据库,例如姓名、个人资料 ID 和电子邮件。它们在网络犯罪社会中仍然有效,作为攻击发展的宝贵来源。2021 年,超过 7 亿 LinkedIn 用户和5.33 亿 Facebook 用户的个人信息 被抓取并发布在暗网上。
卡巴斯基数字足迹情报专家在影子互联网——暗网上发现了一系列似乎在出售对恶意人工智能工具“WormGPT”的虚假访问权限的网站。这些网站具有类似网络钓鱼的特征,包括不同的设计、定价、支付货币,有些网站需要预付款才能访问试用版。这一趋势虽然不会对用户构成直接威胁,但凸显了GPT模型的黑帽替代品的日益流行,并强调了对强大网络安全解决方案的需求。
网络犯罪社区已经开始利用人工智能功能来帮助他们的业务,暗网目前提供了一系列专为黑客目的而设计的语言模型,例如BEC(商业电子邮件泄露)、恶意软件创建、网络钓鱼攻击等。其中一个模型是“WormGPT”,它是“ChatGPT”的一个版本,与合法版本的“ChatGPT”不同,它缺乏特定的限制,使其成为网络犯罪分子实施攻击(例如BEC商业电子邮件泄露)的有效工具。
网络钓鱼者和诈骗者经常利用某些产品和品牌的知名度进行诈骗,“WormGPT”也不例外。在暗网论坛和非法的Telegram频道中,卡巴斯基专家发现了一些网站和广告,这些网站和广告号称提供对这个恶意AI工具的访问权限,并以其他网络犯罪分子为目标,但是这些网站和广告显然是钓鱼网站。
这些网站在多个方面存在显着差异,并且被设计为典型的网络钓鱼页面。他们有不同的设计和定价。支付方式也各不相同,从WormGPT作者最初提出的加密货币,到信用卡和银行转账。
“在暗网中,不可能绝对肯定地分辨出恶意资源还是靠谱资源。然而,有许多间接证据表明,所发现的网站确实是网络钓鱼网页。众所周知,网络犯罪分子经常互相欺骗。然而,最近的网络钓鱼尝试可能表明这些恶意人工智能工具在网络犯罪社区中的流行程度。卡巴斯基公司数字足迹分析师Alisa Kulishenko解释说:“这些模型在一定程度上促进了攻击的自动化,从而强调了可信网络安全解决方案的日益重要性。”
自“WormGPT”以来,许多类似的产品已在暗网社区中传播,其中包括“FraudGPT”,该威胁行为者声称自己是经过验证的供应商,将其宣传为“没有限制、规则和边界的机器人”。地下暗网市场,包括Empire、WHM、Torrez、World、AlphaBay和Versus。8月,基于Google Bard的DarkBART和DarkBERT网络犯罪聊天机器人出现,当时的研究人员表示,这代表了对抗性人工智能的重大飞跃,包括用于图像的Google Lens集成以及对整个网络地下网络的即时访问知识库。
为了避免与网络犯罪分子在暗网这个互联网阴影部分的活动相关的威胁,值得实施以下安全措施:
使用威胁情报产品,例如卡巴斯基数字足迹智能,以帮助安全分析人员探索对手对其公司资源的看法,并及时发现其潜在的攻击载体。这还有助于提高对网络犯罪分子现有威胁的认识,以便相应地调整防御措施或及时采取应对和消除措施。
选择可靠的端点安全解决方案,例如卡巴斯基网络安全解决方案企业版,它配备了基于行为的检测和异常控制功能,可有效防范已知和未知威胁。
使用安全响应的专用服务,可以帮助抵御引人注目的网络攻击,例如卡巴斯基托管检测和响应服务可以在入侵者达到目的之前,帮助在入侵的早期阶段识别并阻止入侵。如果遇到事件,卡巴斯基事件响应服务将帮助您做出响应并将后果降到最低,例如识别被入侵的节点并保护基础设施在未来免受类似攻击。
根据网络安全公司卡巴斯基(Kaspersky)最近的一份报告,物联网(IoT)领域正受到围攻,以物联网相关服务为中心的地下经济不断增长,尤其是分布式拒绝服务(DDoS)攻击。
该研究深入探讨了针对物联网领域不断演变的威胁,揭示了网络犯罪分子的作案手法以及恶意软件类型的惊人流行程度。
到2030年,物联网设备数量预计将超过290亿台,这对网络犯罪分子来说是一个极具吸引力的目标。卡巴斯基的研究对暗网活动、流行的恶意软件类型以及黑客采用的策略提出了重要见解。
虽然DDoS保护和缓解服务正在利用一切可用资源来保护客户基础设施的安全,但网络犯罪社区对通过物联网僵尸网络精心策划的DDoS攻击的需求正在激增。2023年上半年,卡巴斯基数字足迹情报服务分析师在各种暗网论坛上发现了700多条DDoS攻击服务广告。
卡巴斯基研究人员发现的众多广告之一:
我是世界上最著名的DDoS雇佣攻击者,我不会胡扯——我只是告诉你为什么你应该选择我的服务。我们的优势:
1.基于Medusa的僵尸网络,自2020年起运行。 2.每台Windows PC大约有50个浏览器实例,可逃避任何反DDoS防御。 3.拥有10000–80000个在线设备:2023年成为最大的Windows或IoT僵尸网络。 这些服务的费用根据受害者一方的DDoS防护、验证码(CAPTCHA)和JavaScript验证等因素而有所不同,从每天20美元到每月10000美元不等。平均而言,这些非法服务的费用为每天63.50美元或每月1350美元。
此外,暗网市场不仅限于DDoS服务。它提供针对物联网设备漏洞的零日漏洞利用,并与基础设施和支持实用程序捆绑在一起。
针对IoT的恶意软件有不同的家族,其历史可以追溯到2016年的Mirai恶意软件。网络犯罪分子之间的激烈竞争促使他们开发了各种功能,旨在击败竞争对手的恶意软件。这些策略包括实施防火墙规则、禁用远程设备管理以及终止与竞争恶意软件相关联的进程。
网络犯罪分子入侵物联网设备的主要方法仍然是暴力破解弱密码,其次是利用网络服务中的漏洞。暴力攻击主要针对Telnet,一种广泛使用的未加密协议。黑客通过破解密码获得未经授权的访问权限,从而执行任意命令并部署恶意软件。SSH是一种更安全的协议,也容易受到攻击,但它对攻击者构成了更大的资源挑战。
2023年上半年,卡巴斯基的“蜜罐”记录显示,97.91%的密码暴力破解尝试集中在Telnet上,只有2.09%针对SSH。这些攻击大部分集中在中国、印度和美国,而中国、巴基斯坦和俄罗斯是最活跃的攻击者。
利用物联网Web界面中的漏洞是攻击物联网设备的另一个途径。网络犯罪分子通过这些漏洞执行恶意命令,导致Mirai等恶意软件泛滥等严重后果。
卡巴斯基的安全专家Yaroslav Shmelev发出严厉警告:“卡巴斯基敦促供应商优先考虑消费者和工业物联网设备的网络安全。我们认为,他们必须强制更改物联网设备上的默认密码,并持续发布补丁来修复漏洞。”
“简而言之,物联网世界充满了网络危险,包括DDoS攻击、勒索软件以及智能家居和工业设备中的安全问题。卡巴斯基的报告强调,必须以负责任的态度对待物联网安全问题,要求供应商从一开始就加强产品安全性,积极主动地保护用户。”Yaroslav补充道。
为了提供进一步的见解,卡巴斯基报告详细介绍了几种类型的物联网恶意软件,包括DDoS僵尸网络、勒索软件、挖矿软件、DNS更改程序和代理机器人。这些恶意程序中的每一个都有不同的目的,增加了物联网安全挑战的复杂性。
总之,卡巴斯基的研究描绘了2023年物联网威胁形势的严峻图景。随着物联网设备数量持续猛增,网络安全变得至关重要。网络犯罪分子的追求是不懈的、长期的,只有制造商和消费者的共同努力才能捍卫物联网的未来。
通过定期进行安全审计、监控网络流量并遵循最佳实践,利益相关者可以采取有意义的措施来保护这个快速发展的生态系统。
当生意好的时候,一般公司都会投入额外的资金和资源来招聘和保留最好的人才,无论是IT支持、网络安全还是其他关键的技术职位。对于网络犯罪集团来说,这也是一样的。
躲藏在暗网的地下经济价值数十亿美元,网络犯罪和其他地下组织需要同样的技术人才和技能来帮助推动地上经济。卡巴斯基最近对155个暗网论坛上发布的招聘广告和简历进行的分析发现,这些非法组织希望通过提供有竞争力的薪水、奖金、晋升和其他津贴来吸引技术人才……这与他们的合法同行很相似。
根据卡巴斯基的分析,这些暗网组织提供了合法、半合法和非法的职位空缺,有些月薪高达20000美元,不过整体而言,提供给技术专家的薪水中位数水平在1300美元到4000美元之间。
在这些暗网群体中,最抢手的职位是开发人员,但是薪水一般,而逆向工程师的月薪中位数可达4000美元。
卡巴斯基研究人员指出:“为了跟上时代,一些公司提供诸如远程工作和弹性工作时间等福利。也就是说,在暗网上,远程工作是必要的,而不是有吸引力的工作,因为匿名在网络犯罪世界中是关键。你还可以在雇佣条款中遇到带薪休假、带薪病假,甚至是一个友好的团队。”
随着地下经济的持续蓬勃发展,在暗网(通常指只能使用匿名Tor浏览器访问的.onion网站)中工作的网络罪犯需要技术人才。联邦调查局(FBI)年度互联网犯罪投诉中心(IC3)报告的最新数据显示,从2020年到2021年,网络犯罪(例如勒索软件、商业电子邮件泄露、身份盗窃和数据泄露)增加了7%,仅在整个美国,损失总额就达69亿美元。
根据一些估计,网络犯罪使全球各地的受害者损失了数万亿美元。安全公司CardinalOps的网络防御战略副总裁Phil Neray说,有了这么多的资金,犯罪组织就需要熟练的技术人员。
“网络犯罪组织正在寻求雇用更多的开发人员和安全专家,这并不奇怪——就像所有其他企业一样,”Neray称,“这里的区别在于,如果你成功地将勒索软件部署到像Colonial Pipeline或JBS这样的组织,你可能最终会进入FBI的‘网络通缉犯’名单。”
网络犯罪的黑镜 在分析中,卡巴斯基研究人员审查了2020年1月至2022年6月期间在这些暗网论坛上发布的约20万个与就业相关的广告。大多数广告帖子在2020年3月达到顶峰,当时COVID-19新冠疫情流行开始重新定义全球经济及其地下经济。
该研究发现,绝大多数招聘广告(约60%)是针对开发人员的,渗透测试人员排名第二,占16%,设计师排名第三,约占10%。研究人员还发现,一些地下工作要求潜在申请人接受多轮面试和“涉及恶意软件可执行文件加密和逃避保护措施的测试任务,以及试用期。”
Vulcan Cyber的高级技术工程师Mike Parkin表示,继续采用合法企业的招聘和人力资源技术并不奇怪,尤其是随着网络犯罪变得更加有利可图,而且这些团伙组织也越来越复杂。
“多年来,我们一直在观察网络犯罪世界越来越多地采用合法企业的伎俩。看到他们采用与合法商业世界中相同的人力资源招聘技术,这并不奇怪,”Parkin称。
卡巴斯基报告补充说,现在对开发人员的需求很大,原因之一是攻击越来越频繁,恶意软件也越来越复杂。
“这可能表明,网络攻击的复杂性正在增加。对开发人员的更高需求可以解释为需要创建和配置新的、更复杂的工具,”根据该分析。
随着网络威胁的增加,Keeper Security的首席执行官兼联合创始人Darren Guccione指出,拥有资金和手段的地下组织将继续这些招募工作。
“更令人不安的是,对网络安全专业人员不断增长的需求在很大程度上是由于网络攻击和数据泄露的频率不断增加。随着雇主、政府和高等教育机构努力解决当前的人才缺口,预计未来十年这种需求将保持高位。”Guccione称。
网络犯罪能否赚钱 虽然网络犯罪组织提供的薪水和福利对某些人来说似乎很诱人,但几位专家指出,大部分报酬低于美国合法网络安全或IT工作提供的报酬。
正如Kaspeksey的报告里明确显示的那样,这些招聘广告大多是针对俄罗斯和东欧国家的求职者,那里的成本较低,高薪工作往往很稀缺。
安全咨询公司Coalfire的副总裁Andrew Barratt说:“由于犯罪是游戏的名称,当然几乎不需要担心税法、移民签证、居住情况和货币转移——这意味着有组织的网络犯罪集团可以专注于招聘拥有非常具体的技能的人,他们需要将这些技能应用到他们的企业中。”
Barratt补充说,暗网网站提供的报酬吸引了某些类型的开发人员或技术专业人士,他们需要钱来补充合法收入。
Barratt说:“世界各地有大量高标准的软件工程师,由于这样或那样的原因,他们无法进入美国经济,因此,在一些国家,4000到2万美元的副业可能会改变他们的生活,因为在一些国家,仍然可以找到低于10万美元的房产,在一些地方,甚至低于5万美元。”
Parkin还指出,这些广告旨在吸引美国以外的工人。“他们的大部分人才库将来自那些为网络犯罪团伙工作的地区,在那里为犯罪企业工作既没有像在美国那样的耻辱[也没有]法律后果。”他补充说。
这些类型的招募工作可能会持续下去,直到做出更大的努力来打击网络犯罪,这将需要美国和国际执法部门做出更多努力。
Parkin指出:“我们可能会看到这种招募活动继续增长,直到国际执法部门采取一致行动来阻止它。”“即使到那时,他们也只会设法将其进一步推向地下,因为只要存在社会、经济、文化和政治理由,这些犯罪企业就会继续存在。”
含有恶意Tor浏览器下载链接的YouTube视频截图(卡巴斯基) 网络安全研究人员卡巴斯基公司周二表示,一个Tor浏览器的修改版本至少从3月开始收集中国用户的敏感数据,也许早在1月就开始了,其中包括浏览历史、表单数据、计算机名称和位置、用户名和网络适配器的MAC地址。
在一个名为“工具大师i”的中文YouTube频道发布的视频下方简介里,有一个指向恶意版本的Tor浏览器安装程序的链接(蓝奏云链接)。卡巴斯基研究人员Leonid Bezvershenko和Georgy Kucherin在周二公布的研究结果中说,该频道有超过18万名订阅者,该视频已被观看了64000多次。
卡巴斯基称,这个名为“工具大师i”的YouTube帐户于2022年1月上传了该视频,卡巴斯基研究人员在注意到恶意Tor浏览器安装程序下载集群后,于3月开始在他们的数据中看到受害者。
卡巴斯基对“洋葱毒药”的分析 卡巴斯基研究人员将此活动称为“洋葱毒药”(OnionPoison),指的是通过修改“洋葱路由”(The Onion Router)进行投毒。“洋葱路由”是最初由美国海军研究实验室开发的匿名路由,合法的Tor浏览器使用了“洋葱路由”的技术。
研究人员表示,恶意安装程序加载了一个带后门版本的Tor浏览器,其中包括一个间谍软件库,旨在收集个人数据并将其发送到攻击者控制的服务器,还可以让攻击者有能力在受害者的机器上执行shell命令。
非营利组织Tor项目的执行董事Isabela Fernandes告诉CyberScoop,该组织在周二部署了一个补丁。
“基本上,这个‘中毒’的Tor浏览器会修改更新URL,所以它不能正常更新。”她说。“我们所做的是添加一个重定向,以便我们响应修改后的URL,这样人们就会更新。现在他们的URL是一个有效的更新URL。”
研究人员表示,目前尚不清楚该活动的幕后策划者,但它显然针对的是中国用户。他们说,命令和控制服务器检查IP地址,只会向中国的IP发送恶意软件。此外,视频描述中包括一个有效的Tor浏览器链接,但由于Tor网站在中国被封锁,用户更有可能点击下方的蓝奏云链接,将他们定向到托管在第三方“蓝奏云”共享网站上的可下载文件。
研究人员表示,有趣的是,修改后的浏览器不会自动收集用户密码、cookie或钱包,而是专注于浏览历史记录、社交网络帐户ID和Wi-Fi网络。
据卡巴斯基分析,“洋葱毒药”定制的Tor浏览器可以保存浏览历史、启用网页缓存、存储登录凭据以及从访问过的网站收集额外的会话数据。此外,收集到的数据会发送回攻击者。其中包括安装的软件、在Tor浏览器、Chrome和Edge中访问的网站、微信和QQ的用户账号ID,以及受害者已经或曾经连接到的Wi-Fi网络的SSID和MAC地址。
研究人员写道:“攻击者可以搜索泄露的浏览器历史记录,寻找非法活动的痕迹,通过社交网络联系受害者,并威胁要向政府举报。”
历史上Tor浏览器曾出现多个恶意篡改版本 网络犯罪分子和民族国家的黑客过去曾多次部署过修改过的Tor浏览器版本。2019年,斯洛伐克网络安全公司ESET的研究人员报告了一个旨在从讲俄语的人那里窃取加密货币的Tor版本。在另一个例子中,大约10年前,与俄罗斯有关的黑客使用Tor出口节点部署了名为OnionDuke的恶意软件。
联邦调查局(FBI)也曾经被指控与承包商和潜在的大学生合作,修改Tor软件或利用0day,揭露Tor用户身份并调查涉及暗网恋童癖网站(联邦调查局当时含糊地否认了这一说法)。
研究人员表示,避免“洋葱毒药”(OnionPoison)的最佳方法是从官方网站下载Tor浏览器,或者,如果不能这样做,必须从第三方网站下载,则需要检查从第三方来源下载的安装程序的数字签名来验证其真实性。合法的安装程序应具有有效的签名,其证书中指定的公司名称应与软件开发人员的名称相匹配。
使用“洋葱毒药”投毒的Youtube频道“工具大师i” 卡巴斯基称,“洋葱毒药”(OnionPoison)案例中,恶意Tor安装程序的链接被发布在一个流行的中文YouTube频道上,该频道致力于互联网上的匿名性。该频道拥有超过180,000名订阅者,而带有恶意链接的视频的观看次数超过64,000次。
从卡巴斯基的视频截图可以看出,该Youtube恶意频道名为“工具大师i”,地址为:
https://www.youtube.com/c/%E5%B7%A5%E5%85%B7%E5%A4%A7%E5%B8%88i
该视频(https://www.youtube.com/watch?v=qob8gqQ2_3k)名称为“2022年最新暗网进入方法!什么是暗网暗网有什么如何使用科学上网工具访问暗网暗网怎么进2022丨暗网网址丨dark web 2022丨By工具大师i”,已经因违反YouTube规定并YouTube移除(This video has been removed for violating YouTube’s Community Guidelines),已经无法观看,但是从第三方网站NoxInfluencer(https://cn.noxinfluencer.com/youtube/video-analytics/qob8gqQ2_3k)的记录中可以看到,该视频发布时间为2022年1月9日,观看量为6.06万,投放恶意软件的蓝奏云地址为:https://wwi.lanzouo.com/i6iLaym6fsf。
此外,该YouTube频道并不是第一次修改Tor浏览器,“暗网下/AWX”发现了该频道的另一个视频(https://www.youtube.com/watch?v=0nwDOd_xl3Y),名称为“2020年最新 暗网登录 方法教程,哪种方式最快最好用?配合Tor洋葱浏览器,SSR,Vray科学上网!让你网络隐私至极!”,已经于北京时间2022年10月5日中午被设置为私有视频(This video is private),目前同样无法观看,但是从第三方网站(https://cn.noxinfluencer.com/youtube/video-analytics/0nwDOd_xl3Y)的记录中可以看到,该视频发布时间为2020年11月28日,观看量为7.82万,投放恶意软件的蓝奏云地址为:https://www.lanzoui.com/i5cDbix01if。
据统计,YouTube频道“工具大师i”创建于2018年11月18日,发布地点为香港,拥有超过18万粉丝,总计发布视频166个,总观看量超过1100万。
但是,在卡巴斯基曝光之后,目前访问该频道,发现视频仅剩79个,将近90个视频被设置为“私有”,而隐去的视频基本都是其发布的多个VPN工具、加速工具、翻墙工具、挖矿工具等等。若工具为exe文件基本上每个视频均提供了蓝奏云的下载地址链接,如果是安卓应用,均提供了apk的下载地址,如果是苹果应用,提供的是testflight.apple.com的下载地址。根据其“此地无银三百两”的做法判断,但凡是该频道提供的工具,均带有后门,请警惕该频道的分享。
卡巴斯基对恶意Tor浏览器的分析 恶意的Tor浏览器文件名为:torbrowser-install-win64-11.0.3_zh-CN.exe,安装程序的用户界面与原始程序用户界面相同,但是,恶意安装程序没有数字签名。卡巴斯基称,根据其测试,“洋葱毒药”针对的受害者必须位于中国,因为C2服务器会检查受害者机器的外网IP地址是否来自中国。
攻击者降低了恶意的Tor浏览器的私密性,通过修改存储在 browser\omni.ja 存档中的 \defaults\preferences\000-tor-browser.js 配置文件,他们将Tor浏览器配置为:
存储浏览历史;
启用磁盘上的页面缓存;
启用自动表单填写和登录数据的记忆;
为网站存储额外的会话数据。
恶意的Tor浏览器启动后,会伪随机地选择以下C2服务器URL之一并向其发出POST请求:
https://torbrowser.io/metrics/geoip
https://tor-browser.io/metrics/geoip
其针对中国用户加载的恶意Dll文件会检索以下系统信息:
操作系统磁盘卷的GUID;
机器GUID;
计算机名称;
计算机语言环境;
当前用户名;
网络适配器的MAC地址。
且会请求收集以下附加信息:
已安装的软件;
根据卡巴斯基针对亚太地区的数字足迹情报(DFI)报告,该地区的数据库泄露占广告总数的95%。如果以GDP(国内生产总值)加权的订单数量来看,新加坡和澳大利亚的数据泄露市场是迄今为止最大的。
该报告的结果可帮助企业和国家监控外部威胁并及时了解潜在的网络犯罪活动,包括暗网上讨论的主题。
对卡巴斯基数字足迹情报(Kaspersky Digital Footprint Intelligence)服务中的外部数据源(包括暗网资源)进行监控,可以通过攻击生命周期的不同阶段深入了解网络犯罪活动。在报告的第二部分中,该公司介绍了暗网分析的结果。
在分析组织的数字足迹时,发现了两种主要类型的数据:欺诈活动和网络攻击痕迹。虽然卡巴斯基发现了许多欺诈迹象,但报告中的重点仍然是攻击检测。
与攻击影响相关的暗网活动(关于出售数据泄露和受损数据的广告)在统计数据中占主导地位,因为它随着时间的推移而蔓延,网络犯罪分子开始出售、转售和重新包装过去的许多泄露数据。
第一阶段:创建购买访问权限的需求 提供访问邀请的网络犯罪分子发现,这种促销内容的市场空间巨大。来自澳大利亚、印度、中国和巴基斯坦的企业是发起攻击的主要目标。这些国家在攻击准备类别的广告中占84%。
巴基斯坦和澳大利亚吸引了大量的兴趣,从按其国内生产总值加权(GDP)的订单数量可以看出。
在基础设施、商业和工业化程度方面,中国受到的关注较少。这可能是由于该国家/地区分层网络访问的语言障碍和复杂性。
购买访问权限的订单是指购买特定地区的一个或列表中的特定企业或行业的访问权。
然而,购买内部权限订单是要求购买可能导致证书或数据泄漏的企业内部权限的服务,信息收集服务的来源(例如,根据要求销毁PII数据)。
最有希望的发现是在攻击的执行阶段:人工分析指出,对手有能力或已经进入组织的网络或服务,但还没有对业务产生影响。在暗网的广告方面,显示正在进行的攻击,澳大利亚、印度、中国大陆和菲律宾占卡巴斯基检测到的广告的75%。
第二阶段:访问的命令,准备执行 发现的证据表明,攻击者有能力或有权访问组织的系统或服务,但没有企业受到影响。至于暗网上的广告,这意味着攻击已经完成,澳大利亚、印度、中国和菲律宾占卡巴斯基检测到的广告的75%。
这类广告分为三种权限类型:
初始访问经纪人——提供特定企业的权限订单,或向按行业和/或地区分组的企业批量权限的订单。
内鬼销售订单——内鬼出售可能导致凭证泄漏、信息收集服务来源或数据泄漏的内幕服务。消息来源通常是企业内部的工作人员。
分发恶意软件——窃取凭据的恶意软件会收集凭据,将其转化为可以转售或通过帐户用户名和密码访问的数据。
按国内生产总值加权计算,菲律宾、巴基斯坦、新加坡、澳大利亚和泰国的企业受到的攻击最多。
菲律宾、印度和中国大陆以82%的订单营业额在暗网服务市场中占主导地位。
第三阶段:数据泄露和数据出售 一旦发生数据泄漏,销售和免费获取被盗信息的情况都会随之而来。泄露的指标可以是数据泄露以及内部活动指令——销售或免费访问内部数据,包括但不限于数据库、机密文件、PII、信用卡、VIP信息、财务数据等等。
来自澳大利亚、中国大陆、印度和新加坡的黑客组织占据了暗网上所有数据泄露销售额的84%。
从按GDP加权的订单数量来看,新加坡和澳大利亚是暗网上出售泄露数据的两个最大市场。
应该指出的是,菲律宾、巴基斯坦和泰国的组织是发起攻击或似乎受到威胁的攻击者之一,但数据泄露的数量与中间组的其他国家相当。
卡巴斯基亚太区董事总经理Chris Connell表示:“网络表面下的暗网网络犯罪活动显然非常繁忙。从攻击准备和执行,到数据泄露的影响,再到出售和转售被盗信息,这些功能性的恶意活动对亚太地区的企业和组织构成了严重威胁。”
“出售数据和进入公司网络内部往往是齐头并进的。这意味着对您的企业的成功攻击可能是双重的。您的机密信息可能会被窃取和出售,网络犯罪分子可以解锁并将你受感染的系统提供给更多的恶意黑客组织。面对多重攻击需要主动防御,包括通过实时、深入的威胁情报报告提供强大的事件响应和暗网监控功能。”
暗网上的网络犯罪分子通常通过 RDP 提供远程访问。为了保护您公司的基础设施免受远程访问和控制服务的攻击,请确保通过此协议的连接是安全的:
仅授予通过 VPN 访问服务(例如 RDP)的权限
使用强密码和网络级身份验证
对所有服务使用双重身份验证
监控数据访问泄漏,Kaspersky Threat Intelligence提供暗网监控服务。
卡巴斯基主要发现 Kaspersky Digital Footprint Intelligence发现了103,058个未打补丁的暴露网络服务。政府机构的网络资源受已知漏洞影响最大。
在组织的外部边界中遇到的十分之一以上的漏洞是ProxyLogon。在日本,43%的未打补丁的服务中都发现了这个漏洞。
16,003个远程访问和管理服务可供攻击者使用。政府机构是受影响最大的机构。
在暗网上,黑客更喜欢购买和出售来自澳大利亚、中国大陆、印度和日本的企业的访问权限。
澳大利亚、中国大陆、印度和新加坡占暗网论坛上所有数据泄露销售订单的84%。