论文部分内容阅读
无论是通过欺诈还是合法购买,网络犯罪分子越来越依赖于主流服务来支持他们的犯罪活动。
说到网络犯罪的基础设施,暗网以其秘密的犯罪市场、非法洗钱服务和“僵尸网络即服务”而声名狼藉。犯罪分子也从合法的商业基础设施提供商那里得到了他们需要的很多东西。
这不仅仅是因为主流供应商比那些通过违法活动谋生的人更可靠,同时使用商业基础设施也是网络攻击者避免被发现的一种方法,使得在他们从事犯罪活动时,看起来貌似是合法的。本文介绍犯罪分子利用和滥用合法技术基础设施企业和服务提供商的一些方式。
1.盗取或者合法购买云服务
当犯罪分子使用云服务的方式并不明显违法时,他们可以使用合法的支付方式来支付云服务的费用。
在某些情况下,提供商也会接受比特币或者其他匿名支付方式。在其他情况下,可能会有经销商——即从大的云提供商那里购买服务的合法企业,加价转售给匿名买家。WhiteHat安全公司的安全研究员Bryan Becker评论说:“实际上,这很简单。我是在一家云托管大提供商那里做到这些的。你访问一个网站,它看起来和感觉起来都是真的,你购买服务,立刻就能使用。他们是合法的经销商,但他们的整个商业模式是,你可以使用比特币和其他加密货币购买托管服务。”
Becker介绍说,这些服务是合法使用的,比如,客户所居住的地区没有银行基础设施的情况。他补充说,一些经销商可能违反了云服务提供商的服务条款,但他们并不一定违法。
这还不是犯罪分子获得合法云服务提供商服务使用权限的唯一途径。安全公司Exabeam的首席研究员Jeff Nathan问道:“当能偷的时候,为什么还要付钱?”例如,犯罪分子经常能使用被盗的信用卡——尽管他们可能要尝试很多次才能找到一张能用的信用卡。
他说,更好的方法是侵入企业账户。Nathan说:“如果这家企业足够大,拥有云服务提供商的大量账户,那么很难追踪到这些账户。各种干扰因素实在太多了。”一旦犯罪分子获得了某个云账户的访问权,他们就可以使用云账户来托管恶意或者欺骗性的网站、协调僵尸网络数据流、托管恶意软件下载、临时存储被盗的数据,或者进行网络钓鱼活动。
如果数据流来自企業已经在使用的某项服务,那么它一般能绕过安全过滤器。安全公司Protegrity负责产品和开发的高级副总裁Dominic Sartorio最近遇到了使用亚马逊S3存储桶的一种有趣的犯罪行为。企业遇到的亚马逊存储桶问题一般是在配置细节上,偶尔会设置为允许公共访问。在他与之合作的一家大型金融服务公司的案例中,正是犯罪分子设置了存储桶。
Sartorio介绍说:“他们的客户服务和客户忠诚度部门想做一些分析。作为影子IT,他们自己做的,没有经过正确的程序。”犯罪分子侵入了这一过程,使用伪造的公司电子邮件地址向部门员工发送非常令人信服的电子邮件,发给他们S3存储桶的地址,并邀请他们上传数据。犯罪分子们已经在存储桶里植入了假冒但是非常逼真的数据。他说:“于是,营销部门连接到了这个假的S3存储桶,认为这是他们自己的,并上传了真实的数据。”
Sartorio说,这家银行有好几种方法可以防止这种情况发生,一旦得知有泄露,他们确实采取了额外的安全措施。Sartorio的公司提供云数据安全软件,他建议对数据本身进行保护。他说:“如果数据被加密了,那么犯罪分子就不能把数据怎么样。”
企业还可以应用数据丢失预防(DLP)技术来监控上传到云平台的敏感数据。反网络钓鱼技术也可用于发现不良电子邮件。他说:“如果你查看邮件,可能会发现它与发送者的身份不符,而且它的发送过程经历了一些奇怪的跳跃,但一般的非技术营销人员意识不到这些。”
2.证书颁发机构被盗或者验证不充分
用户知道在访问网站时要看看有没有一个“小锁”的符号,一些浏览器或者企业防火墙可能会完全阻止对不安全网站的访问。这种安全功能依赖于可信证书。证书也用于对软件进行签名,这样用户就知道他们没有下载病毒。
Edgewise网络公司的联合创始人兼首席执行官Peter Smith表示,滥用证书是目前一种非常常见的攻击方法。他说:“我们最近看到很多恶意软件使用合法的证书。在某些情况下,这些证书是被盗的。在其他情况下,它们之所以发布了,是因为验证过程太糟糕了。”
为了防止这种情况发生,他建议企业一定要有一个相应的系统,该系统要求证书去访问最新的吊销列表,并适当地审核证书颁发机构。他说:“你所信赖的供应商务必要采用证书的最佳实践。”
3.公共安全研究与披露
很多网络安全信息和工具都可以通过商业渠道获得,犯罪分子很容易就能获取其中的大部分。安全公司Balbix的创始人兼首席执行官Gaurav Banga说,犯罪分子几乎能和安全专业人员同时发现新漏洞,而且会立即加以利用。他说:“好人必须遵守企业的协议。这样导致坏人的反应会更快。”
一些安全供应商发布威胁的排名列表。他说,这让攻击者很清楚财富500强企业将会采取何种措施进行防御。然后就出现了像VirusTotal和SpamHaus这样的工具。Banga说,它们对安全专业人员很有用,但对编写病毒和电子邮件以绕过防火墙的犯罪分子同样有用。
Virtru安全公司的产品管理副总裁Rob McDonald说,犯罪分子长期以来一直都在使用安全工具。他说:“与其说这些工具是新出现的,不如说是犯罪分子们使用的太老练了。”
McDonald补充道,首席安全官必须提高他们的水平。他说:“我不想这么说,但现实情况是,很多企业仍然没有尽快修补其漏洞。这取决于企业的规模,可能需要数周甚至数月的时间才会作出响应。”他说,企业应该在补漏洞方面做得更好,如果不能选择立即修补,则应采取其他安全措施来降低风险。 4.匿名支付服务
守法公民使用匿名支付服务的理由有很多。例如,他们可能想给朋友和家人赠送礼品卡。或者,当他们看到新闻头条上有如此多的泄露事件时,他们可能不想让别人看到他们真实的支付信息。Nathan说:“现在有很多服务,比如Blur和Privay.com,可以让你创建匿名信用卡。”
当然,还有比特币。并非所有商业基础设施提供商都接受匿名支付方式。如果一个犯罪分子真的想要使用其中一家供应商,而且是支付真正的钱,不是使用被盗的账户凭据或者被盗的信用卡,那么一些经销商将充当中间人。
5.“防弹”代理
防弹代理服务(也称为智能代理)能够隐藏用户的位置。而防弹托管服务也有其另一面,也就是保护了恶意网站。合法目的是保护腐败政权中的积极分子。半合法目的是允许用户规避内容提供商的地理限制。然而,在实践中,犯罪分子经常使用智能代理来发动攻击。
该服务可以访问数百万甚至数千万个住宅IP地址。从今年5月到7月,安全供应商Cequence安全公司发现住宅防弹代理在零售业的流量增长了800%。金融业整体增长518%,增幅361%。Cequence公司的威胁研究主管Will Glazier说:“这些网络并不一定是非法的,因为其中一些是由自愿加入网络的用户建立的。他们自愿是因为他们基本上被蒙骗了。”例如,一个这样的网络向用户承诺提供免费的点对点VPN服务,而实际上,他们的计算机被代理僵尸网络控制了。
有些网络提供的代理数量超过了3200萬个,所以不太可能所有的IP地址都来自自愿的志愿者。僵尸网络中充斥着受感染的计算机、路由器、智能摄像头——住宅IP地址上的任何与网络相连的设备。
一旦准备好,这些僵尸网络就可以用来采用被攻破的用户名和密码尝试登录银行。Glazier说:“他们将通过100万个不同IP和100万个不同凭证对,为100万个请求寻找路由。目的是让它看起来像100万个不同的普通美国用户。”同样的策略也可以用于广告点击欺诈和其他攻击源看起来像普通人的攻击。
Glazier说,该问题必须从几个方面着手解决。他说,例如,网络服务提供商(ISP)自己拆除僵尸网络。“我们直接找到ISP,告诉他们,‘我们看到你的5万个IP地址攻击了一个客户,我们认为它们来自同一类路由。’他们会更新路由器,并重置。”
对于防范凭据造假和广告点击欺诈的个别公司来说,当前的最佳做法是使用行为分析来发现可疑的登录。例如,安全摄像头通常不会在凌晨两点检查其银行余额。Glazier说:“另一个与常规行为不同的是登录速度。人不会以恒定的速度打字。”
6.呼叫转发平台
Protegrity公司的Sartorio说,如果电话号码看起来很像自己熟悉的电话号码,那么人们更有可能接听电话。企业员工尤其如此,他们很容易识别出属于公司电话总机的号码,或者非常相似的号码。他补充说:“很多公司不会使用整个号段。他们只是使用其中的一部分号码。”
例如,Protegrity公司本身有一个IP承载语音(VoIP)系统,其中所有电话号码都以相同的区号开始,然后是相同的前三位数字。公司网站上公布了主要的号码,所以犯罪分子很容易找到。
Sartorio说:“有了这些电话中心平台,就可以自动提供新的电话号码,并可以保护与目标号码非常相似的电话号码。”攻击者将这些服务用于他们的机器电话程序,和一名公司员工接通电话,使用社会工程攻击方法让他们认为自己在与公司的技术支持人员通话。他说,Protegrity公司已经把这一主题添加到了员工的安全意识培训中。
Maria Korolov过去20年一直涉足新兴技术和新兴市场。
原文网址
https://www.csoonline.com/article/3432768/6-ways-cybercriminals-use-commercial-infrastructure.html
说到网络犯罪的基础设施,暗网以其秘密的犯罪市场、非法洗钱服务和“僵尸网络即服务”而声名狼藉。犯罪分子也从合法的商业基础设施提供商那里得到了他们需要的很多东西。
这不仅仅是因为主流供应商比那些通过违法活动谋生的人更可靠,同时使用商业基础设施也是网络攻击者避免被发现的一种方法,使得在他们从事犯罪活动时,看起来貌似是合法的。本文介绍犯罪分子利用和滥用合法技术基础设施企业和服务提供商的一些方式。
1.盗取或者合法购买云服务
当犯罪分子使用云服务的方式并不明显违法时,他们可以使用合法的支付方式来支付云服务的费用。
在某些情况下,提供商也会接受比特币或者其他匿名支付方式。在其他情况下,可能会有经销商——即从大的云提供商那里购买服务的合法企业,加价转售给匿名买家。WhiteHat安全公司的安全研究员Bryan Becker评论说:“实际上,这很简单。我是在一家云托管大提供商那里做到这些的。你访问一个网站,它看起来和感觉起来都是真的,你购买服务,立刻就能使用。他们是合法的经销商,但他们的整个商业模式是,你可以使用比特币和其他加密货币购买托管服务。”
Becker介绍说,这些服务是合法使用的,比如,客户所居住的地区没有银行基础设施的情况。他补充说,一些经销商可能违反了云服务提供商的服务条款,但他们并不一定违法。
这还不是犯罪分子获得合法云服务提供商服务使用权限的唯一途径。安全公司Exabeam的首席研究员Jeff Nathan问道:“当能偷的时候,为什么还要付钱?”例如,犯罪分子经常能使用被盗的信用卡——尽管他们可能要尝试很多次才能找到一张能用的信用卡。
他说,更好的方法是侵入企业账户。Nathan说:“如果这家企业足够大,拥有云服务提供商的大量账户,那么很难追踪到这些账户。各种干扰因素实在太多了。”一旦犯罪分子获得了某个云账户的访问权,他们就可以使用云账户来托管恶意或者欺骗性的网站、协调僵尸网络数据流、托管恶意软件下载、临时存储被盗的数据,或者进行网络钓鱼活动。
如果数据流来自企業已经在使用的某项服务,那么它一般能绕过安全过滤器。安全公司Protegrity负责产品和开发的高级副总裁Dominic Sartorio最近遇到了使用亚马逊S3存储桶的一种有趣的犯罪行为。企业遇到的亚马逊存储桶问题一般是在配置细节上,偶尔会设置为允许公共访问。在他与之合作的一家大型金融服务公司的案例中,正是犯罪分子设置了存储桶。
Sartorio介绍说:“他们的客户服务和客户忠诚度部门想做一些分析。作为影子IT,他们自己做的,没有经过正确的程序。”犯罪分子侵入了这一过程,使用伪造的公司电子邮件地址向部门员工发送非常令人信服的电子邮件,发给他们S3存储桶的地址,并邀请他们上传数据。犯罪分子们已经在存储桶里植入了假冒但是非常逼真的数据。他说:“于是,营销部门连接到了这个假的S3存储桶,认为这是他们自己的,并上传了真实的数据。”
Sartorio说,这家银行有好几种方法可以防止这种情况发生,一旦得知有泄露,他们确实采取了额外的安全措施。Sartorio的公司提供云数据安全软件,他建议对数据本身进行保护。他说:“如果数据被加密了,那么犯罪分子就不能把数据怎么样。”
企业还可以应用数据丢失预防(DLP)技术来监控上传到云平台的敏感数据。反网络钓鱼技术也可用于发现不良电子邮件。他说:“如果你查看邮件,可能会发现它与发送者的身份不符,而且它的发送过程经历了一些奇怪的跳跃,但一般的非技术营销人员意识不到这些。”
2.证书颁发机构被盗或者验证不充分
用户知道在访问网站时要看看有没有一个“小锁”的符号,一些浏览器或者企业防火墙可能会完全阻止对不安全网站的访问。这种安全功能依赖于可信证书。证书也用于对软件进行签名,这样用户就知道他们没有下载病毒。
Edgewise网络公司的联合创始人兼首席执行官Peter Smith表示,滥用证书是目前一种非常常见的攻击方法。他说:“我们最近看到很多恶意软件使用合法的证书。在某些情况下,这些证书是被盗的。在其他情况下,它们之所以发布了,是因为验证过程太糟糕了。”
为了防止这种情况发生,他建议企业一定要有一个相应的系统,该系统要求证书去访问最新的吊销列表,并适当地审核证书颁发机构。他说:“你所信赖的供应商务必要采用证书的最佳实践。”
3.公共安全研究与披露
很多网络安全信息和工具都可以通过商业渠道获得,犯罪分子很容易就能获取其中的大部分。安全公司Balbix的创始人兼首席执行官Gaurav Banga说,犯罪分子几乎能和安全专业人员同时发现新漏洞,而且会立即加以利用。他说:“好人必须遵守企业的协议。这样导致坏人的反应会更快。”
一些安全供应商发布威胁的排名列表。他说,这让攻击者很清楚财富500强企业将会采取何种措施进行防御。然后就出现了像VirusTotal和SpamHaus这样的工具。Banga说,它们对安全专业人员很有用,但对编写病毒和电子邮件以绕过防火墙的犯罪分子同样有用。
Virtru安全公司的产品管理副总裁Rob McDonald说,犯罪分子长期以来一直都在使用安全工具。他说:“与其说这些工具是新出现的,不如说是犯罪分子们使用的太老练了。”
McDonald补充道,首席安全官必须提高他们的水平。他说:“我不想这么说,但现实情况是,很多企业仍然没有尽快修补其漏洞。这取决于企业的规模,可能需要数周甚至数月的时间才会作出响应。”他说,企业应该在补漏洞方面做得更好,如果不能选择立即修补,则应采取其他安全措施来降低风险。 4.匿名支付服务
守法公民使用匿名支付服务的理由有很多。例如,他们可能想给朋友和家人赠送礼品卡。或者,当他们看到新闻头条上有如此多的泄露事件时,他们可能不想让别人看到他们真实的支付信息。Nathan说:“现在有很多服务,比如Blur和Privay.com,可以让你创建匿名信用卡。”
当然,还有比特币。并非所有商业基础设施提供商都接受匿名支付方式。如果一个犯罪分子真的想要使用其中一家供应商,而且是支付真正的钱,不是使用被盗的账户凭据或者被盗的信用卡,那么一些经销商将充当中间人。
5.“防弹”代理
防弹代理服务(也称为智能代理)能够隐藏用户的位置。而防弹托管服务也有其另一面,也就是保护了恶意网站。合法目的是保护腐败政权中的积极分子。半合法目的是允许用户规避内容提供商的地理限制。然而,在实践中,犯罪分子经常使用智能代理来发动攻击。
该服务可以访问数百万甚至数千万个住宅IP地址。从今年5月到7月,安全供应商Cequence安全公司发现住宅防弹代理在零售业的流量增长了800%。金融业整体增长518%,增幅361%。Cequence公司的威胁研究主管Will Glazier说:“这些网络并不一定是非法的,因为其中一些是由自愿加入网络的用户建立的。他们自愿是因为他们基本上被蒙骗了。”例如,一个这样的网络向用户承诺提供免费的点对点VPN服务,而实际上,他们的计算机被代理僵尸网络控制了。
有些网络提供的代理数量超过了3200萬个,所以不太可能所有的IP地址都来自自愿的志愿者。僵尸网络中充斥着受感染的计算机、路由器、智能摄像头——住宅IP地址上的任何与网络相连的设备。
一旦准备好,这些僵尸网络就可以用来采用被攻破的用户名和密码尝试登录银行。Glazier说:“他们将通过100万个不同IP和100万个不同凭证对,为100万个请求寻找路由。目的是让它看起来像100万个不同的普通美国用户。”同样的策略也可以用于广告点击欺诈和其他攻击源看起来像普通人的攻击。
Glazier说,该问题必须从几个方面着手解决。他说,例如,网络服务提供商(ISP)自己拆除僵尸网络。“我们直接找到ISP,告诉他们,‘我们看到你的5万个IP地址攻击了一个客户,我们认为它们来自同一类路由。’他们会更新路由器,并重置。”
对于防范凭据造假和广告点击欺诈的个别公司来说,当前的最佳做法是使用行为分析来发现可疑的登录。例如,安全摄像头通常不会在凌晨两点检查其银行余额。Glazier说:“另一个与常规行为不同的是登录速度。人不会以恒定的速度打字。”
6.呼叫转发平台
Protegrity公司的Sartorio说,如果电话号码看起来很像自己熟悉的电话号码,那么人们更有可能接听电话。企业员工尤其如此,他们很容易识别出属于公司电话总机的号码,或者非常相似的号码。他补充说:“很多公司不会使用整个号段。他们只是使用其中的一部分号码。”
例如,Protegrity公司本身有一个IP承载语音(VoIP)系统,其中所有电话号码都以相同的区号开始,然后是相同的前三位数字。公司网站上公布了主要的号码,所以犯罪分子很容易找到。
Sartorio说:“有了这些电话中心平台,就可以自动提供新的电话号码,并可以保护与目标号码非常相似的电话号码。”攻击者将这些服务用于他们的机器电话程序,和一名公司员工接通电话,使用社会工程攻击方法让他们认为自己在与公司的技术支持人员通话。他说,Protegrity公司已经把这一主题添加到了员工的安全意识培训中。
Maria Korolov过去20年一直涉足新兴技术和新兴市场。
原文网址
https://www.csoonline.com/article/3432768/6-ways-cybercriminals-use-commercial-infrastructure.html