每年都会有大量的公司发生重大数据泄露事件,例如2022年Medibank和Optus的数据泄露、Twitter的数据泄露、Uber和Rockstar的数据泄露以及2023年T-Mobile、MailChimp和OpenAI的数据泄露。在2022年,卡巴斯基实验室列出了全球700家来自不同行业的公司,然后在暗网上搜索,试图分析这些公司遭受攻击的可能性有多大?
研究发现,暗网里的帖子都是关于出售受攻击帐户、内部数据库和文档,以及访问公司基础设施。虽然暗网确实促进了各种数据类型的销售,例如,银行卡信息、驾驶执照和身份证照片等,但本文重点还是放在了与企业特别相关的信息上。研究发现700家公司中有223家在暗网上被提及,泄露数据的主题也不同。
各行业分布
这意味着三分之一的公司在与销售数据或访问相关的暗网帖子中被引用,即使是网络安全成熟度高的公司也避免不了被黑客攻击。
本文提供了一个统计概述,包括所有暗网帖子,涉及2022年1月至2023年11月期间出售、购买或免费传播受攻击帐户的数据。
数据泄露
数据泄露会暴露机密、敏感信息,并可能导致重大问题。最常见的例子是数据库和内部文档,因为所有有一定规模的公司都使用机密数据,泄露会影响公司本身、员工和客户。
暗网上每月大约有1700个新的帖子出现,涉及销售、传播或购买泄露数据。
2022年1月至2023年11月与数据库出售/购买相关的消息数量
应该注意的是,并不是每条消息都代表一条最新出现的泄漏,其中有些是重复的广告相同泄漏。
一个组合报价的示例
另一种流行的泄露类型是收集公共数据的数据库,如姓名、个人资料、id和电子邮件,这些数据来自流行的社交网络。它们是开发攻击的宝贵来源。2021年,超过7亿LinkedIn用户和5.33亿Facebook用户的个人信息被抓取并发布在暗网上。
泄露的LinkedIn数据库分布示例
基础设施的访问
以下是网络攻击者获取企业基础设施初始访问权限以进行攻击的最常见行为:
1.利用软件漏洞。例如,对企业web资源的攻击,利用跨网站组件的1日漏洞,SQL注入,访问易受攻击的web应用程序控制面板等。
2.获得合法的公司证书。例如,使用窃取日志中的数据或密码挖掘。
3.针对员工的网络钓鱼攻击。例如,带有恶意负载的电子邮件。
特别要提的是盗用合法账户的方法。这些驻留在受感染设备中的恶意程序收集各种帐户和支付数据、cookie文件、授权令牌等,并保存到日志中。网络攻击者扫描这些日志,寻找他们可以利用和赚钱的数据,一些人在寻找信用卡数据,另一些人在寻找域名账户,社交网络账户等,他们把这个阶段称为加工。在整理完日志后,他们要么在论坛上公开交换自己的发现,要么把它们卖给个人买家。
关于漏洞(例如SQL注入)和合法凭据(例如RDP/SSH)的信息,对于收入可观的公司来说,定价会非常不同,因为它们提供了不同的成功攻击概率。出售帐户以访问远程管理接口(RDP、SSH)意味着已经获得了对公司网络基础设施系统的访问权限,而漏洞仅仅提供了实现类似级别访问的机会。
即使涉及到同样的问题,比如SQL注入,也有许多因素影响攻击的潜在发展,比如易受攻击的主机位置(例如,公司网络或云服务器),预期的漏洞利用技术,数据库容量等,基础设施访问受欢迎的原因很简单,复杂的攻击几乎总是包括几个阶段,例如侦察、对基础设施的初始访问、获得对目标系统或特权的访问,以及实际的恶意行为(数据盗窃、破坏或加密等)。不同的阶段需要不同的专业知识,因此网络攻击者往往具有专业知识,容易获得访问权限的人可能在攻击的发展中面临困难。在这种情况下,购买初始访问权限简化了攻击,对于经验丰富的网络罪犯来说很划算。
对于希望降低与基础设施访问销售相关的风险的企业来说,第一个挑战是了解销售情况。与其他类型的数据相比,这种数据类型的巨大区别在于,网络攻击者不喜欢在消息中提及公司的名称,以免失去访问权限,即使有人提到了名字,社区也会建议他们不要分享多余的信息。
对提供出售的帖子发表评论
在这种情况下,如何跟踪此威胁?网络攻击者通常会在信息中加入一些属性,比如地理位置、行业、公司规模和年收入。
一些带有公司属性论坛消息的示例
在2022年,研究人员发现了大约3000个独立的基础设施项目,到2023年11月,我们已经找到了超过3100份报价。通常,被黑客攻击的企业基础设施包括企业VPN服务的帐户和内部网络中的一些服务器或主机(通常,访问是通过RDP或web shell执行的)。
2022年1月至2023年11月提供的基础设施访问的消息数量
账户被盗
还有另一类数据是获得初始访问权限的真正发现,受攻击帐户。根据来源,研究人员将所有受攻击账户分为三类:
1.在网络威胁组织中自由传播的公开秘密。
2.在黑客论坛和私人聊天中出售的具有有限访问权限的漏洞,有时这些只是包含未经验证的信息的小型数据库。
3.在暗网论坛上发布的恶意软件日志中泄露的用户账户。由于REDLINE和VIDAR这样的信息窃取程序,这些凭证变得可用,现在可以通过恶意软件即服务在网络犯罪社区中轻松访问。
乍一看,网络攻击者没有理由免费共享凭证。然而,如果他们不再需要这些数据,并希望在特定的暗网论坛上提高他们在网络犯罪社区中的比率,他们仍然可以这样做。此外,他们还可以发布一些包含受攻击帐户的恶意软件日志文件,以进行下一次销售。
这三种类型的证书泄露都对公司造成了威胁,有些员工不顾禁令,使用公司电子邮件地址在第三方网站上注册。在典型情况下,公司员工对外部服务和公司资源使用相同的密码,有助于网络攻击者未经授权便访问公司基础设施。