查看原文
其他

外部攻击面管理(EASM)实践——暗网威胁可视性报告

零零信安 数世咨询 2022-06-12

作者:零零信安 王宇


“暗网”是业界比较回避的话题,但是暗网的威胁却是真切存在的。无论是犯罪分子、商业黑客,还是国家资助的某些团体,都以各种动机,在暗网中以匿名的形式买卖、招募、雇佣各类数据、情报、资源和服务。其对相关企业的威胁巨大,它们可能是直接经济损失,也可能是名誉和品牌影响,甚至可能是黑客针对企业VIP攻击的重要环节。


外部攻击面管理(EASM)的扩展情报能力之一,即为企业提供暗网威胁的可视性,以协助企业制定针对性计划。为了方便说明,本文仅将视角聚焦在“暗网市场”领域,并且仅从宏观描述与网络安全有关的信息,不涉及任何技术、犯罪信息、匿名社交(例如Telegram等)、隐私数据和交易等其他部分。文中涉及金额部分,如无特别说明,单位均为人民币。


1、暗网中有哪些数据和服务?


  • 个人隐私数据包

  • 银行卡数据

  • 网络攻击工具包

  • 系统/主机远程访问权限

  • DDoS服务

  • 身份证和护照等服务


2、个人隐私数据包


个人隐私数据包,是暗网交易市场中最受欢迎的商品,它们也被称为“Fullz”,同时也是攻击者惯用的“社工库”的重要组成部分之一。它包含一套完整的个人身份信息,这些信息足以进行自然人的唯一标识定位。它们通常包含:姓名、身份证号、家庭住址、生日等信息,有些贩卖数据也包含微博账号、邮箱地址、注册ID等信息。通常一手信息的价格在每条数据几元至几十元不等(依据信息的完整程度),二手信息的价格大约是一手信息的1/100至1/10左右。而如果是包含了以上个人信息、以及银行卡号、手机号、密码等完整数据的信息包,每条数据的价格会达到几十至几百元。


以下为部分国外高价值个人隐私数据在暗网交易市场中的价格(含银行支付密码,并可登录):


美国

700元/条

英国

300元/条

欧盟

150元/条

日本

275元/条


在暗网市场中,同样充斥着国内各行业和企业泄露的各类个人隐私数据。我们很痛心的发现,很多相关企业并未做出有效的补救措施。



我们很想呼吁:避而不谈,并不代表不存在。


3、银行卡数据


银行卡数据,通常包含银行卡的卡号、可用性信息、过期日期、持卡人姓名、余额等信息。这些数据与个人隐私数据包的用途不同,通常用于更批量化、更广泛的转存、诈骗、洗钱等恶意行为。这类数据的价格,往往与来源、国籍、余额等直接相关。一般抛售价格在每条真实数据几十至几百元之间。


以下为部分国外银行卡数据在暗网交易市场中的参考售价:


美国银行系统内部日志-100美元余额账户

60元/条

美国银行系统内部日志-4000美元余额账户

350元/条

美国银行账号(账号、汇款路径号码、关联账户)

3200元/条

英国银行系统内部日志-3000英镑余额账户

300元/条

德国银行系统内部日志-3500欧元余额账户

1800元/条

日本银行系统内部日志-40万日元余额账户

2100元/条


这类数据,由于涉及到更广泛的商业犯罪,无论是防范、追溯,都异常困难,其将会直接对相关企业和个人带来经济损失。



我们希望相关企业在暗网市场中发现该类数据时,在条件允许的情况下,能够进行数据验真(在暗网市场中,真假情报/数据参差不齐,其贩卖数据有可能为假数据),以评估其相应的损失,并尽力补救,以减少对企业和个人带来的影响。


4、网络攻击工具包


网络攻击工具包,主要包括勒索软件、木马程序、钓鱼网页等恶意软件类攻击程序。一个很有意思的点在于,很多网络攻击工具包提供的都是租赁服务,其价格大约在每天几十至几百元,每周大约数千元。它们都保持着很高的更新频率,以逃脱防御软件的规则限制,价格的区别主要在于工具包的功能、效果和更新频率。


勒索软件攻击工具包

50元

已过时,但因使用范围广而难以替代的9种勒索软件

75元

定制化的钓鱼网站

200元

Office365攻击程序包

750元


而提供攻击工具包源代码的价格会相对较贵,一般在数十万元以上。


这些网络攻击工具包极大的降低了规模化网络攻击、以及定向网络攻击的难度,由于其便利性和较低的使用门槛,使得真实环境下的网络攻防对抗(非攻防演练)变得更有利于攻击者。由于某些APT组织的成员也在制作、租赁、贩卖攻击工具包,甚至已经有了攻击低成本、平民化的趋势。


5、系统/主机远程访问权限


Windows的专有协议——远程桌面协议(RDP)曾经是攻击者经常使用,并在暗网市场中非常受欢迎的,现在它已经拓展到全部对于Windows、Linux、UNIX、MacOS、iOS和安卓的远程控制权限。


攻击者可以利用远程控制访问来执行一系列攻击行为,包括账户接管攻击(ATOs)、窃取信用卡信息、支付欺诈,以及用来隐藏攻击者源头等。在不同深网和暗网交易市场上售价也不尽相同,从几十元至几千元不等,价格受国别影响较小。


全局管理权限

60元

指定国家的远程控制权限

175元

完全被控制的“肉鸡”

235元

可通过PayPal进行银行转账的远程控制系统/主机

3800元


获得访问权限的网络犯罪分子,除了能够轻松发起外部攻击并在网络内横向移动外,犯罪分子还可以利用被入侵的系统植入恶意软件、渗透数据和操作网络设置等。总体而言,其带来的损害是难以估量的。


6、DDoS服务


深网和暗网上的DDoS租赁服务和网络攻击工具包一样,在很大程度上降低了攻击者发动攻击的技术壁垒。这种DDoS服务近几年越来越受到攻击者的欢迎,他们利用DDoS实施攻击的原因各不相同,有人是为了博取关注或是报复游戏作弊行为,而部分人的动机是为了进行网络勒索、政治干涉、破坏竞争对手的网络等。


租凭DDoS服务根据带宽和攻击持续时间的要求不同,售价通常在每天一百元到几百元不等。除此之外,能够发动更大范围攻击的定制化DDoS服务价格基本都在千元以上。


电话拒绝服务(TDoS)

150

10分钟DDoS攻击,60Gbps

300

4小时DDoS攻击,15gbps

360

第7层旁路攻击,100Gbps

570

30分钟DDoS攻击,60Gbps

600

托管式DDoS攻击

1100

私有云DDoS应用层攻击

1300

私有OVH DDoS应用层攻击

1680


虽然现在市面上已有许多针对DDoS攻击的缓解和防御技术,但仍然不能做到万无一失。如今,按小时收费的DDoS出租服务越来越受到攻击者和暗网交易市场的欢迎。


7、身份证和护照等服务


在深网和暗网中出售的身份证和护照等证件主要有三种类型,分别为证件扫描件、证件模板和实体证件。其中证件模板允许买家自行输入或修改身份信息,从而达到伪造身份证件的目的。而这三种类型的伪造证件,在暗网和深网中兜售的价格也各不相同。实体证件最贵,价格在三千元至两万元之间,扫描件则便宜许多,通常售价在七十元到两百元之间。


以下表格中的价格为在暗网和深网中出售的由政府签发的护照和驾照的价格。


护照

证件扫描件/证件模板/实体证件

美国

200/1000/3500

英国

130/200/20000

欧盟

30/650/19000

日本

70/65/ -

新加坡

- /65/ -

 

驾照

证件扫描件/证件模板/实体证件

美国

85/100/2000

英国

100/110/2300

欧盟

-/330/2600

新加坡

- / - / 730


伪造证件可以用来隐藏身份,欺诈等犯罪行为。如果网络犯罪分子利用在暗网和深网中泄露的企业组织重要人员信息来伪造身份证件,不仅会威胁企业财产安全,同时也给企业网络安全运营带来极大的不确定性。(本文作者:零零信安 王宇)



参考阅读

攻击面管理的价值

Forrester:攻击面管理不仅仅是工具

赛迪顾问发布《中国攻击面管理市场白皮书》

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存