サイバー犯罪者から組織を保護および保護するために、最新のニュース、ツール、ソート リーダーシップを常に把握しているように、攻撃者も同じことを行っています。 彼らはフォーラムでつながり、新しいソフトウェア ツールを評価し、潜在的な購入者と話し、セキュリティ スタックを凌駕する新しい方法を探しています。

彼らの世界をのぞいてみると、特に署名ベースのウイルス対策などの従来のソリューションと競合する場合に、十分な資金を備えたセキュリティ チームや企業のセキュリティ ツールを打ち負かす高度な機能を備えていることがわかります。 多くのセキュリティ オペレーション センター (SOC) は、実際の脅威に優先順位を付けることができず、実際には対応できない脅威を解決しようとして時間を無駄にしています。

警備員は、薄暗い地下室にフードをかぶった孤独な人物が座り、汚れた灰皿からたばこの煙が立ち上るというイメージを超えて行動する必要があります。 今日のサイバー犯罪の世界を概観してみましょう: 戦略的、コモディティ化、協調的 (特に犯罪者が使うお金がある場合)。

あらゆる攻撃を支える戦略的意図

敵対者には常にビジネス上の目的があります。 すべてのマルウェアに対して計画があります。 まず、サイバー犯罪者はあなたの環境にアクセスするために詮索し、盗み、他の誰かに転売できる可能性があるものを探します。 攻撃者は知らないかもしれませんが 正確に 彼らがあなたの環境にアクセスできるようになったら何をしたいか、彼らはそれを見たときに価値を認識する傾向があります。

彼らは、構成の誤りやエクスプロイトする公開されたポートを探すことで偵察を行う可能性があります。このプロセスは、既知の CVE データベースや無料のオープンポート スキャナーによって簡単に行われることがよくあります。 最初の侵害は、ユーザーの資格情報を盗んで環境にアクセスすることによっても達成できます。このプロセスは、横方向に移動して主要な資産を特定する前に、より簡単な場合もあります。

サイバー兵器の闇市場は成熟している

サイバー犯罪者は、洗練された地下市場を開発しました。 ツールは、比較的安価でローテクな製品から、サービスとしてのソフトウェア (SaaS) など、正当な消費者になじみのあるビジネス モデルを介して提供される高度な機能を備えた製品へと進化しました。 脅威ハンターは、ハッキング ツールのコモディティ化を目の当たりにしています。

フィッシング キット、事前にパッケージ化されたエクスプロイト、および Web サイトの複製ツールは、かつて非常に一般的でした。 Microsoft Office 365 や Netflix などの Web サイトのログイン ページを模倣するように設計されたこれらのツールは、長年にわたってユーザーの資格情報を取得するのに非常に効果的でした。

ただし、過去 XNUMX 年間、セキュリティ コミュニティは、パターン認識、URL クロール、共有脅威インテリジェンスなどの手法を使用して、この種の活動に対応してきました。 VirusTotal のようなツールにより、悪意のあるファイルの発見がより広範なセキュリティ コミュニティとほぼ瞬時に共有されることが一般的になりました。 当然のことながら、攻撃者はこれを十分に認識しており、適応しています。

新しいフィッシング手法

今日の攻撃者は、検証プロセスをハイジャックすることで、多要素認証 (MFA) の台頭を利用することも学びました。

EvilProxy と呼ばれる新しいタイプのフィッシング キットがあります。 過去のキットと同様に、Web サイトのログイン ページを模倣して、ユーザーをだましてログイン資格情報を提供させます。 XNUMX 回限りの購入として販売されていた過去のフィッシング キットとは異なり、この新しい手法 (アクセス侵害の専門家によって販売されている) はレンタル モデルを介して動作し、販売者はフィッシング キャンペーンを実行するために自分のサーバーのスペースを貸し出します。

SaaS モデルのように動作するプロキシ サーバーをホストします。 このサービスは、250 日間のアクセスで約 10 ドルかかります。 これにより、SaaS プロバイダーはより多くのお金を稼ぐことができ、統計を収集してハッカー フォーラムに公開し、製品を売り込み、他の売り手と競争することができます。

新しいキットには、予期しない訪問者からフィッシング環境を守るための保護機能が組み込まれています。 Web クローラーによるサイトのインデックス作成を明らかに望んでいないため、ボット保護を使用してクローラーをブロックし、微妙な仮想化検出テクノロジを使用して仮想マシン (VM) を介して偵察を行うセキュリティ運用チームを防ぎ、自動検出を使用してセキュリティ研究者がクロールするのを防ぎます。キットのウェブサイトをさまざまな角度から。

「中間の敵」シナリオ

MFA をバイパスするコンテキストでは、正規のログイン ページ コンテンツへのリバース プロキシとして機能すると、一般的なフィッシングの検出に大きな問題が生じます。 リバース プロキシ サーバーは、ユーザーとターゲット Web サイトの間に位置することで、敵対者がユーザー名、パスワード、および MFA の完了後に設定されたセッション cookie にアクセスできるようにします。 次に、セッションをブラウザに再生して、その宛先でユーザーとして行動できます。

ユーザーには、すべてが正常に見えます。 サイバー犯罪者は、URL にわずかに異なる名前を使用することで、サイトが完全に正当であるかのように見せかけ、すべてが正常に機能しているように見せることができます。 その間、彼らはそのユーザーを介して不正アクセスを取得し、それを自分の目的のために悪用したり、最高入札者にオークションにかけたりすることができます.

攻撃者のビジネス モデル

新しいフィッシング手法に加えて、マルウェアはインターネット上で公然と販売されており、合法と違法の間を行き来する一種のグレー スペースで動作しています。 そのような例の XNUMX つが BreakingSecurity.net で、企業向けのリモート監視ツールとしてソフトウェアを販売しています。

マルウェアのすべての部分には、結果をもたらすための価格が関連付けられています。 そして、これらの結果には、資格情報の盗み取り、暗号通貨の生成、身代金の要求、またはネットワーク インフラストラクチャをスヌープするためのスパイ機能の取得など、明確なビジネス上の意図があります。

現在、これらのツールの作成者は、アフィリエイト プログラムを通じて購入者と提携しています。 マルチレベル マーケティング スキームと同様に、彼らはツールのアフィリエイト バイヤーに「入ったら私のところに来てください」と言います。 彼らは、利益を分割する代わりに、製品保証とツールの24時間年中無休のサポートさえ提供します. これにより、階層のスケーリングと構築が可能になります。 他のタイプのサイバー犯罪起業家は、既存の妥協案を最高入札者に売ります。 複数のビジネスモデルが利用されています。

今日の現実: 高度なクラウド サンドボックスの事例

セキュリティ チームは、今日の敵対者の行動と、その行動がどれほど迅速に実行されるかを理解する必要があります。 現在市場に出回っている高度なマルウェアは、フィッシングよりも深刻です。 フィルターを回避する Maldocs、ランサムウェア、情報窃盗プログラム、リモート アクセス トロイの木馬 (RAT)、ツールセットを組み合わせたエクスプロイト後のツールなど、攻撃者はかつてないほど高度になり、ビジネス モデルも進化しています。

標準的なサンドボックスに基づく対策は、インライン防止にはあまり効果がありません。 クラウドと AI を組み合わせた検出により、最もステルスな脅威をインライン、リアルタイム、大規模に阻止できます。

敵と共に進化していなければ、遅れをとっていることになります。 なぜなら、今日のサイバー犯罪者は、あなたと同じようにプロ意識を持って仕事をしているからです。

続きを読む パートナーの視点 ゼットスケーラーから.

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/zscaler/of-exploits-and-experts-the-professionalization-of-cybercrime