Maria Korolov
無論是通過欺詐還是合法購買,網(wǎng)絡(luò)犯罪分子越來越依賴于主流服務(wù)來支持他們的犯罪活動(dòng)。
說到網(wǎng)絡(luò)犯罪的基礎(chǔ)設(shè)施,暗網(wǎng)以其秘密的犯罪市場(chǎng)、非法洗錢服務(wù)和“僵尸網(wǎng)絡(luò)即服務(wù)”而聲名狼藉。犯罪分子也從合法的商業(yè)基礎(chǔ)設(shè)施提供商那里得到了他們需要的很多東西。
這不僅僅是因?yàn)橹髁鞴?yīng)商比那些通過違法活動(dòng)謀生的人更可靠,同時(shí)使用商業(yè)基礎(chǔ)設(shè)施也是網(wǎng)絡(luò)攻擊者避免被發(fā)現(xiàn)的一種方法,使得在他們從事犯罪活動(dòng)時(shí),看起來貌似是合法的。本文介紹犯罪分子利用和濫用合法技術(shù)基礎(chǔ)設(shè)施企業(yè)和服務(wù)提供商的一些方式。
1.盜取或者合法購買云服務(wù)
當(dāng)犯罪分子使用云服務(wù)的方式并不明顯違法時(shí),他們可以使用合法的支付方式來支付云服務(wù)的費(fèi)用。
在某些情況下,提供商也會(huì)接受比特幣或者其他匿名支付方式。在其他情況下,可能會(huì)有經(jīng)銷商——即從大的云提供商那里購買服務(wù)的合法企業(yè),加價(jià)轉(zhuǎn)售給匿名買家。WhiteHat安全公司的安全研究員Bryan Becker評(píng)論說:“實(shí)際上,這很簡(jiǎn)單。我是在一家云托管大提供商那里做到這些的。你訪問一個(gè)網(wǎng)站,它看起來和感覺起來都是真的,你購買服務(wù),立刻就能使用。他們是合法的經(jīng)銷商,但他們的整個(gè)商業(yè)模式是,你可以使用比特幣和其他加密貨幣購買托管服務(wù)?!?/p>
Becker介紹說,這些服務(wù)是合法使用的,比如,客戶所居住的地區(qū)沒有銀行基礎(chǔ)設(shè)施的情況。他補(bǔ)充說,一些經(jīng)銷商可能違反了云服務(wù)提供商的服務(wù)條款,但他們并不一定違法。
這還不是犯罪分子獲得合法云服務(wù)提供商服務(wù)使用權(quán)限的唯一途徑。安全公司Exabeam的首席研究員Jeff Nathan問道:“當(dāng)能偷的時(shí)候,為什么還要付錢?”例如,犯罪分子經(jīng)常能使用被盜的信用卡——盡管他們可能要嘗試很多次才能找到一張能用的信用卡。
他說,更好的方法是侵入企業(yè)賬戶。Nathan說:“如果這家企業(yè)足夠大,擁有云服務(wù)提供商的大量賬戶,那么很難追蹤到這些賬戶。各種干擾因素實(shí)在太多了?!币坏┓缸锓肿荧@得了某個(gè)云賬戶的訪問權(quán),他們就可以使用云賬戶來托管惡意或者欺騙性的網(wǎng)站、協(xié)調(diào)僵尸網(wǎng)絡(luò)數(shù)據(jù)流、托管惡意軟件下載、臨時(shí)存儲(chǔ)被盜的數(shù)據(jù),或者進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)。
如果數(shù)據(jù)流來自企業(yè)已經(jīng)在使用的某項(xiàng)服務(wù),那么它一般能繞過安全過濾器。安全公司Protegrity負(fù)責(zé)產(chǎn)品和開發(fā)的高級(jí)副總裁Dominic Sartorio最近遇到了使用亞馬遜S3存儲(chǔ)桶的一種有趣的犯罪行為。企業(yè)遇到的亞馬遜存儲(chǔ)桶問題一般是在配置細(xì)節(jié)上,偶爾會(huì)設(shè)置為允許公共訪問。在他與之合作的一家大型金融服務(wù)公司的案例中,正是犯罪分子設(shè)置了存儲(chǔ)桶。
Sartorio介紹說:“他們的客戶服務(wù)和客戶忠誠(chéng)度部門想做一些分析。作為影子IT,他們自己做的,沒有經(jīng)過正確的程序?!狈缸锓肿忧秩肓诉@一過程,使用偽造的公司電子郵件地址向部門員工發(fā)送非常令人信服的電子郵件,發(fā)給他們S3存儲(chǔ)桶的地址,并邀請(qǐng)他們上傳數(shù)據(jù)。犯罪分子們已經(jīng)在存儲(chǔ)桶里植入了假冒但是非常逼真的數(shù)據(jù)。他說:“于是,營(yíng)銷部門連接到了這個(gè)假的S3存儲(chǔ)桶,認(rèn)為這是他們自己的,并上傳了真實(shí)的數(shù)據(jù)。”
Sartorio說,這家銀行有好幾種方法可以防止這種情況發(fā)生,一旦得知有泄露,他們確實(shí)采取了額外的安全措施。Sartorio的公司提供云數(shù)據(jù)安全軟件,他建議對(duì)數(shù)據(jù)本身進(jìn)行保護(hù)。他說:“如果數(shù)據(jù)被加密了,那么犯罪分子就不能把數(shù)據(jù)怎么樣?!?/p>
企業(yè)還可以應(yīng)用數(shù)據(jù)丟失預(yù)防(DLP)技術(shù)來監(jiān)控上傳到云平臺(tái)的敏感數(shù)據(jù)。反網(wǎng)絡(luò)釣魚技術(shù)也可用于發(fā)現(xiàn)不良電子郵件。他說:“如果你查看郵件,可能會(huì)發(fā)現(xiàn)它與發(fā)送者的身份不符,而且它的發(fā)送過程經(jīng)歷了一些奇怪的跳躍,但一般的非技術(shù)營(yíng)銷人員意識(shí)不到這些。”
2.證書頒發(fā)機(jī)構(gòu)被盜或者驗(yàn)證不充分
用戶知道在訪問網(wǎng)站時(shí)要看看有沒有一個(gè)“小鎖”的符號(hào),一些瀏覽器或者企業(yè)防火墻可能會(huì)完全阻止對(duì)不安全網(wǎng)站的訪問。這種安全功能依賴于可信證書。證書也用于對(duì)軟件進(jìn)行簽名,這樣用戶就知道他們沒有下載病毒。
Edgewise網(wǎng)絡(luò)公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Peter Smith表示,濫用證書是目前一種非常常見的攻擊方法。他說:“我們最近看到很多惡意軟件使用合法的證書。在某些情況下,這些證書是被盜的。在其他情況下,它們之所以發(fā)布了,是因?yàn)轵?yàn)證過程太糟糕了?!?/p>
為了防止這種情況發(fā)生,他建議企業(yè)一定要有一個(gè)相應(yīng)的系統(tǒng),該系統(tǒng)要求證書去訪問最新的吊銷列表,并適當(dāng)?shù)貙徍俗C書頒發(fā)機(jī)構(gòu)。他說:“你所信賴的供應(yīng)商務(wù)必要采用證書的最佳實(shí)踐。”
3.公共安全研究與披露
很多網(wǎng)絡(luò)安全信息和工具都可以通過商業(yè)渠道獲得,犯罪分子很容易就能獲取其中的大部分。安全公司Balbix的創(chuàng)始人兼首席執(zhí)行官Gaurav Banga說,犯罪分子幾乎能和安全專業(yè)人員同時(shí)發(fā)現(xiàn)新漏洞,而且會(huì)立即加以利用。他說:“好人必須遵守企業(yè)的協(xié)議。這樣導(dǎo)致壞人的反應(yīng)會(huì)更快?!?/p>
一些安全供應(yīng)商發(fā)布威脅的排名列表。他說,這讓攻擊者很清楚財(cái)富500強(qiáng)企業(yè)將會(huì)采取何種措施進(jìn)行防御。然后就出現(xiàn)了像VirusTotal和SpamHaus這樣的工具。Banga說,它們對(duì)安全專業(yè)人員很有用,但對(duì)編寫病毒和電子郵件以繞過防火墻的犯罪分子同樣有用。
Virtru安全公司的產(chǎn)品管理副總裁Rob McDonald說,犯罪分子長(zhǎng)期以來一直都在使用安全工具。他說:“與其說這些工具是新出現(xiàn)的,不如說是犯罪分子們使用的太老練了?!?/p>
McDonald補(bǔ)充道,首席安全官必須提高他們的水平。他說:“我不想這么說,但現(xiàn)實(shí)情況是,很多企業(yè)仍然沒有盡快修補(bǔ)其漏洞。這取決于企業(yè)的規(guī)模,可能需要數(shù)周甚至數(shù)月的時(shí)間才會(huì)作出響應(yīng)?!彼f,企業(yè)應(yīng)該在補(bǔ)漏洞方面做得更好,如果不能選擇立即修補(bǔ),則應(yīng)采取其他安全措施來降低風(fēng)險(xiǎn)。
4.匿名支付服務(wù)
守法公民使用匿名支付服務(wù)的理由有很多。例如,他們可能想給朋友和家人贈(zèng)送禮品卡?;蛘撸?dāng)他們看到新聞?lì)^條上有如此多的泄露事件時(shí),他們可能不想讓別人看到他們真實(shí)的支付信息。Nathan說:“現(xiàn)在有很多服務(wù),比如Blur和Privay.com,可以讓你創(chuàng)建匿名信用卡?!?/p>
當(dāng)然,還有比特幣。并非所有商業(yè)基礎(chǔ)設(shè)施提供商都接受匿名支付方式。如果一個(gè)犯罪分子真的想要使用其中一家供應(yīng)商,而且是支付真正的錢,不是使用被盜的賬戶憑據(jù)或者被盜的信用卡,那么一些經(jīng)銷商將充當(dāng)中間人。
5.“防彈”代理
防彈代理服務(wù)(也稱為智能代理)能夠隱藏用戶的位置。而防彈托管服務(wù)也有其另一面,也就是保護(hù)了惡意網(wǎng)站。合法目的是保護(hù)腐敗政權(quán)中的積極分子。半合法目的是允許用戶規(guī)避內(nèi)容提供商的地理限制。然而,在實(shí)踐中,犯罪分子經(jīng)常使用智能代理來發(fā)動(dòng)攻擊。
該服務(wù)可以訪問數(shù)百萬甚至數(shù)千萬個(gè)住宅IP地址。從今年5月到7月,安全供應(yīng)商Cequence安全公司發(fā)現(xiàn)住宅防彈代理在零售業(yè)的流量增長(zhǎng)了800%。金融業(yè)整體增長(zhǎng)518%,增幅361%。Cequence公司的威脅研究主管Will Glazier說:“這些網(wǎng)絡(luò)并不一定是非法的,因?yàn)槠渲幸恍┦怯勺栽讣尤刖W(wǎng)絡(luò)的用戶建立的。他們自愿是因?yàn)樗麄兓旧媳幻沈_了。”例如,一個(gè)這樣的網(wǎng)絡(luò)向用戶承諾提供免費(fèi)的點(diǎn)對(duì)點(diǎn)VPN服務(wù),而實(shí)際上,他們的計(jì)算機(jī)被代理僵尸網(wǎng)絡(luò)控制了。
有些網(wǎng)絡(luò)提供的代理數(shù)量超過了3200萬個(gè),所以不太可能所有的IP地址都來自自愿的志愿者。僵尸網(wǎng)絡(luò)中充斥著受感染的計(jì)算機(jī)、路由器、智能攝像頭——住宅IP地址上的任何與網(wǎng)絡(luò)相連的設(shè)備。
一旦準(zhǔn)備好,這些僵尸網(wǎng)絡(luò)就可以用來采用被攻破的用戶名和密碼嘗試登錄銀行。Glazier說:“他們將通過100萬個(gè)不同IP和100萬個(gè)不同憑證對(duì),為100萬個(gè)請(qǐng)求尋找路由。目的是讓它看起來像100萬個(gè)不同的普通美國(guó)用戶?!蓖瑯拥牟呗砸部梢杂糜趶V告點(diǎn)擊欺詐和其他攻擊源看起來像普通人的攻擊。
Glazier說,該問題必須從幾個(gè)方面著手解決。他說,例如,網(wǎng)絡(luò)服務(wù)提供商(ISP)自己拆除僵尸網(wǎng)絡(luò)。“我們直接找到ISP,告訴他們,‘我們看到你的5萬個(gè)IP地址攻擊了一個(gè)客戶,我們認(rèn)為它們來自同一類路由。他們會(huì)更新路由器,并重置?!?/p>
對(duì)于防范憑據(jù)造假和廣告點(diǎn)擊欺詐的個(gè)別公司來說,當(dāng)前的最佳做法是使用行為分析來發(fā)現(xiàn)可疑的登錄。例如,安全攝像頭通常不會(huì)在凌晨?jī)牲c(diǎn)檢查其銀行余額。Glazier說:“另一個(gè)與常規(guī)行為不同的是登錄速度。人不會(huì)以恒定的速度打字?!?/p>
6.呼叫轉(zhuǎn)發(fā)平臺(tái)
Protegrity公司的Sartorio說,如果電話號(hào)碼看起來很像自己熟悉的電話號(hào)碼,那么人們更有可能接聽電話。企業(yè)員工尤其如此,他們很容易識(shí)別出屬于公司電話總機(jī)的號(hào)碼,或者非常相似的號(hào)碼。他補(bǔ)充說:“很多公司不會(huì)使用整個(gè)號(hào)段。他們只是使用其中的一部分號(hào)碼?!?/p>
例如,Protegrity公司本身有一個(gè)IP承載語音(VoIP)系統(tǒng),其中所有電話號(hào)碼都以相同的區(qū)號(hào)開始,然后是相同的前三位數(shù)字。公司網(wǎng)站上公布了主要的號(hào)碼,所以犯罪分子很容易找到。
Sartorio說:“有了這些電話中心平臺(tái),就可以自動(dòng)提供新的電話號(hào)碼,并可以保護(hù)與目標(biāo)號(hào)碼非常相似的電話號(hào)碼。”攻擊者將這些服務(wù)用于他們的機(jī)器電話程序,和一名公司員工接通電話,使用社會(huì)工程攻擊方法讓他們認(rèn)為自己在與公司的技術(shù)支持人員通話。他說,Protegrity公司已經(jīng)把這一主題添加到了員工的安全意識(shí)培訓(xùn)中。
Maria Korolov過去20年一直涉足新興技術(shù)和新興市場(chǎng)。
原文網(wǎng)址
https://www.csoonline.com/article/3432768/6-ways-cybercriminals-use-commercial-infrastructure.html