Een typische werkdag voor een bot, vanuit zijn eigen gezichtspunt.
Terug naar de sleur - tijd om te bekijken wat er vandaag moet gebeuren. Als botnet heb ik op sommige manieren een heel interessante baan, maar op andere voelt het als de film Groundhog Day. Ik was oorspronkelijk gebouwd door een criminele organisatie om gedistribueerde denial-of-service (DDoS) -aanvallen uit te voeren en vervolgens 'beschermingsgeld' te eisen om ervoor te zorgen dat het niet opnieuw gebeurde. Geen erg innovatief bedrijfsmodel, maar waarom repareren wat niet kapot is ?!
Ik heb het geluk dat mijn eigenaren mijn code op het scherpst van de snede hebben gehouden, zodat ik kan worden gebruikt voor nieuwere aanvallen zoals het vullen van legitimatiegegevens, brute force-wachtwoordkraken, cryptomining en zelfs als een ticketbot om de beste stoelen voor wederverkoop. Sommige van mijn vrienden werken als aggregators, spambots, webscrapers of zoekmachines, en hoewel we allemaal vergelijkbare functies uitvoeren, doe ik echt de opwindende dingen.
In de loop van de tijd zijn zowel de systemen waarvan ik ben gemaakt als de soorten criminele bedrijfsmodellen waarvoor ik gebruik veranderd. Tegenwoordig maken sommige van mijn netwerk van gehackte computers deel uit van het internet der dingen, zoals videobewakingscamera's voor thuis. Zolang ze goede rekenkracht en connectiviteit hebben, ben ik een werkgever met gelijke kansen.
Voordat ik te diep inga op wat ik vandaag moet doen, wil ik eerst het grote plaatje bespreken. Hoewel mijn organisatie uitstekend is in wat ze doet, beschouw ik mezelf als onderdeel van een groter ecosysteem. Andere organisaties betalen me voor mijn gestolen informatie, zoals toegang tot iemands bankrekening. Ze betalen me ook voor mijn vermogen om impact te veroorzaken, zoals het uitvoeren van een DDoS-aanval op de hoofdwebpagina van een bedrijf. Dat is een ding dat ik leuk vind aan het Dark Web - het is in een staat van constante innovatie rond het herbestemmen van malware en bedrijfsmodellen.
Genoeg grote foto: laten we het hebben over het leuke van mijn dag - aanvallende dingen! Over het algemeen is het proces dat ik volg hetzelfde als een militaire eenheid die een doelwit aanvalt. Ik begin met verkenning en voer vervolgens de aanval uit om toegang te krijgen. Vervolgens komt het vastleggen van de doelstelling, of in cyberterminologie, exploitatie. Dit bestaat uit het stelen van gegevens om deze te verkopen.
Laten we eens kijken wat ik doe door naar een voorbeeldtaak te kijken, zoals het vullen van referenties. Om te beginnen heb ik bruikbare intelligentie of informatie nodig, dus ik moet ervoor zorgen dat mijn verkenning resulteert in de ontdekking van een kwetsbaar deel van het netwerk. Dit betekent dat ik moet bepalen wat voor soort verdediging er is, zodat ik mijn aanval kan aanpassen om ze te omzeilen. Hoe goed mijn dag verloopt, hangt echt af van wat het bedrijf dat ik target, heeft gedaan om de beveiliging te verbeteren.
Als het een webapplicatie-firewall (WAF) heeft met mogelijkheden voor fraude en botvermindering, is dat een echte hoofdpijn. Als het het land blokkeert waar mijn bots vandaan komen (een geolocatieblok genoemd), moet ik de aanvalsbron wijzigen in een niet-geblokkeerde locatie. Als het blokkeert op basis van de snelheid en het volume van mijn pogingen, dan moet ik de aanval vertragen om onder de radar te blijven. Als het CAPTCHA of browservalidatie gebruikt, dan moet ik meer geavanceerde technieken gebruiken om de verdediging te verslaan. Sommige bedrijven kijken zelfs naar de netwerklogboeken om te bepalen of er echt een persoon aan de andere kant van de verbinding is, door naar gedrag te kijken. Maar voor elke verdediging komt mijn onderzoeksteam met een teller.
Nadat ik heb vastgesteld hoe ik toegang kan krijgen tot de juiste inlogsites voor het slachtoffer, moet ik ook toegang hebben tot de nieuwste munitie voor mijn aanvallen - of dat nu bijgewerkte malware is, nieuwe social engineering-technieken voor phishing-e-mails, of een reeks gecompromitteerde gebruikersnamen en wachtwoorden (vaak referenties genoemd). Voor vandaag ga ik op zoek naar accounts om ze over te nemen, wat betekent dat ik veel inloggegevens nodig heb. Deze techniek wordt credential stuffing genoemd en wordt gebruikt om toegang te krijgen tot klantenaccounts. Als iemand dezelfde gebruikersgegevens gebruikt voor meerdere online accounts, kunnen cybercriminelen deze gegevens gebruiken om toegang te krijgen tot al hun andere accounts wanneer één account is gehackt. Om deze schaal te bereiken, heb ik het proces geautomatiseerd om meerdere gecompromitteerde referenties tegen het bedrijf uit te proberen, in de hoop dat sommige ervan opnieuw zijn gebruikt. Het werkt ongeveer 1% tot 2% van de tijd, maar als ik een miljoen referentiesets heb waar ik naar kijk, is dat een goed rendement op de investering.
Zodra ik toegang heb tot een account, moet ik ervoor zorgen dat ik het kan verkopen. Ik zal vaak de contactgegevens wijzigen, dus als het bedrijf een probleem detecteert, neemt het contact met mij op om te bevestigen dat alles in orde is. Vervolgens zal ik het account te koop aanbieden aan iemand die geld kan overmaken door zoiets eenvoudigs als het kopen van cadeaubonnen of het kopen van producten die worden verzonden naar leden van de witwasoperaties van de koper (muilezels genoemd).
Er zijn een aantal variaties in hoe het proces werkt, afhankelijk van of iemand op het Dark Web een contract afsluit voor mijn diensten. Dus dat is een typische dag in mijn leven. Wat ik wou dat ik kon doen, werd onderdeel van een universitair onderzoeksnetwerk. Die gasten hebben het gemaakt - weekenden vrij en zinvol werk. Dat gezegd hebbende, krijg ik interactie met veel interessante sites!
Gerelateerde inhoud:
Steve Winterfeld is de adviserende CISO bij Akamai. Steve wil de stem van de klant zijn voor Akamai's beveiligingsvisie en CISO's helpen bij het oplossen van hun meest urgente problemen. Hij brengt ervaring met Zero Trust Security Architectures en het integreren van meerdere tools ... Bekijk volledige bio
Meer inzichten
