Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Khai thác và chuyên gia: Sự chuyên nghiệp hóa của tội phạm mạng

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 148

Giống như việc bạn cập nhật tin tức, công cụ và tư tưởng lãnh đạo mới nhất để bảo vệ và đảm bảo an toàn cho tổ chức của mình khỏi tội phạm mạng, thì các đối thủ của bạn cũng đang làm điều tương tự. Họ đang kết nối trên các diễn đàn, đánh giá các công cụ phần mềm mới, nói chuyện với những người mua tiềm năng và tìm kiếm những cách mới để vượt qua hệ thống bảo mật của bạn.

Xem qua thế giới của họ cho thấy họ có các khả năng tiên tiến thường vượt trội so với các nhóm bảo mật được tài trợ tốt và các công cụ bảo mật của công ty, đặc biệt là khi đọ sức với các giải pháp cũ như phần mềm chống vi-rút dựa trên chữ ký. Nhiều trung tâm điều hành bảo mật (SOC) không ưu tiên các mối đe dọa thực sự, đồng thời lãng phí thời gian để cố gắng giải quyết những vấn đề khác mà trên thực tế họ không thể mở rộng quy mô để đáp ứng.

Những người bảo vệ an ninh cần phải vượt ra ngoài hình ảnh tinh thần về một nhân vật trùm đầu đơn độc ngồi trong tầng hầm thiếu ánh sáng khi khói thuốc bốc lên từ chiếc gạt tàn bẩn thỉu. Hãy xem xét thế giới tội phạm mạng như nó tồn tại ngày nay: chiến lược, hàng hóa và hợp tác (đặc biệt nếu bọn tội phạm có tiền để chi tiêu).

Ý định chiến lược ủng hộ mọi cuộc tấn công

Đối thủ luôn có mục đích kinh doanh; có một kế hoạch cho mọi phần mềm độc hại. Để bắt đầu, tội phạm mạng rình mò để có quyền truy cập vào môi trường của bạn, tìm kiếm thứ gì đó mà chúng có thể đánh cắp và có khả năng bán lại cho người khác. Trong khi kẻ tấn công có thể không biết chính xác những gì họ muốn làm khi họ có quyền truy cập vào môi trường của bạn, họ có xu hướng nhận ra giá trị khi họ nhìn thấy nó.

Họ có thể thực hiện trinh sát bằng cách tìm kiếm các cấu hình sai hoặc các cổng bị lộ để khai thác, một quy trình thường được thực hiện dễ dàng nhờ cơ sở dữ liệu CVE đã biết và các máy quét cổng mở miễn phí. Thỏa hiệp ban đầu cũng có thể được thực hiện bằng cách đánh cắp thông tin đăng nhập của người dùng để truy cập vào môi trường, một quy trình đôi khi còn dễ dàng hơn trước khi di chuyển sang bên để xác định nội dung chính.

Thị trường chợ đen vũ khí mạng đang trưởng thành

Tội phạm mạng đã phát triển một thị trường ngầm tinh vi. Các công cụ đã phát triển từ các sản phẩm tương đối rẻ tiền và công nghệ thấp thành những sản phẩm có khả năng tiên tiến được cung cấp thông qua các mô hình kinh doanh quen thuộc với người tiêu dùng hợp pháp, như phần mềm dưới dạng dịch vụ (SaaS). Các thợ săn mối đe dọa đang chứng kiến ​​việc hàng hóa hóa các công cụ hack.

Bộ công cụ lừa đảo, khai thác đóng gói sẵn và công cụ nhân bản trang web từng rất phổ biến. Được thiết kế để bắt chước các trang đăng nhập của trang web, chẳng hạn như Microsoft Office 365 hoặc Netflix, những công cụ này khá hiệu quả trong việc thu thập thông tin đăng nhập của người dùng trong nhiều năm.

Tuy nhiên, trong hai thập kỷ qua, cộng đồng bảo mật đã phản ứng với loại hoạt động này bằng các kỹ thuật như nhận dạng mẫu, thu thập thông tin URL và chia sẻ thông tin về mối đe dọa. Các công cụ như VirusTotal đã biến việc phát hiện ra các tệp độc hại thành một thông lệ để chia sẻ với cộng đồng bảo mật rộng lớn hơn gần như ngay lập tức. Đương nhiên, các đối thủ nhận thức rõ điều này và đã thích nghi.

Một phương pháp lừa đảo mới

Các đối thủ ngày nay cũng đã học cách tận dụng sự gia tăng của xác thực đa yếu tố (MFA) bằng cách chiếm quyền điều khiển quá trình xác minh.

Một loại công cụ lừa đảo mới được gọi là EvilProxy. Giống như các bộ công cụ trước đây, nó bắt chước các trang đăng nhập trang web để lừa người dùng cung cấp thông tin đăng nhập của họ. Không giống như các bộ công cụ lừa đảo trước đây được bán dưới dạng mua một lần, phương pháp mới này — được bán bởi các chuyên gia thỏa hiệp quyền truy cập — hoạt động thông qua mô hình cho thuê, theo đó người bán thuê không gian trên máy chủ của chính họ để chạy các chiến dịch lừa đảo.

Họ lưu trữ một máy chủ proxy hoạt động giống như mô hình SaaS. Dịch vụ có giá khoảng 250 đô la cho 10 ngày truy cập. Điều này cho phép các nhà cung cấp SaaS kiếm được nhiều tiền hơn và cho phép họ thu thập số liệu thống kê, sau đó họ có thể xuất bản trên các diễn đàn tin tặc để tiếp thị sản phẩm của họ và cạnh tranh với những người bán khác.

Các bộ công cụ mới có các biện pháp bảo vệ tích hợp để bảo vệ môi trường lừa đảo khỏi những vị khách không mời. Vì rõ ràng là họ không muốn trình thu thập dữ liệu web lập chỉ mục trang web của mình nên họ sử dụng tính năng bảo vệ bot để chặn trình thu thập dữ liệu, công nghệ phát hiện ảo hóa sắc thái để ngăn chặn các nhóm hoạt động bảo mật thực hiện do thám thông qua máy ảo (VM) và phát hiện tự động hóa để ngăn các nhà nghiên cứu bảo mật thu thập dữ liệu các trang web kit của họ từ các góc độ khác nhau.

Kịch bản “Đối thủ ở giữa”

Trong bối cảnh bỏ qua MFA, hoạt động như một proxy ngược với nội dung trang đăng nhập xác thực sẽ tạo ra các vấn đề lớn đối với việc phát hiện lừa đảo điển hình. Bằng cách ngồi giữa người dùng và trang web mục tiêu, máy chủ proxy ngược cho phép kẻ thù truy cập vào tên người dùng, mật khẩu và cookie phiên được đặt sau khi MFA hoàn tất. Sau đó, họ có thể phát lại phiên đó vào một trình duyệt và đóng vai trò là người dùng ở điểm đến đó.

Đối với người dùng, mọi thứ trông bình thường. Bằng cách sử dụng các biến thể nhỏ của tên trong URL, tội phạm mạng có thể làm cho trang web có vẻ hoàn toàn hợp pháp, với mọi thứ hoạt động bình thường. Trong khi đó, họ đã có được quyền truy cập trái phép thông qua người dùng đó, sau đó có thể khai thác quyền truy cập này cho mục đích riêng của họ hoặc bán đấu giá cho người trả giá cao nhất.

Mô hình kinh doanh của đối thủ

Ngoài các phương pháp lừa đảo mới, phần mềm độc hại được bán công khai trên Internet và hoạt động trong một loại không gian màu xám, lơ lửng giữa hợp pháp và bất hợp pháp. Một ví dụ như vậy là BreakingSecurity.net, nơi tiếp thị phần mềm như một công cụ giám sát từ xa cho doanh nghiệp.

Mỗi phần mềm độc hại có một mức giá liên quan đến nó để thúc đẩy kết quả. Và những kết quả này có mục đích kinh doanh rõ ràng, cho dù đó là đánh cắp thông tin đăng nhập, tạo tiền điện tử, yêu cầu tiền chuộc hay có được khả năng gián điệp để rình mò cơ sở hạ tầng mạng.

Ngày nay, những người tạo ra các công cụ này đang hợp tác với người mua thông qua các chương trình liên kết. Tương tự như kế hoạch tiếp thị đa cấp, họ nói với người mua liên kết của công cụ, "Hãy đến với tôi khi bạn tham gia." Họ thậm chí còn cung cấp bảo đảm sản phẩm và hỗ trợ công cụ 24/7 để đổi lấy việc chia lợi nhuận. Điều này cho phép họ mở rộng quy mô và xây dựng một hệ thống phân cấp. Các loại doanh nhân tội phạm mạng khác bán các thỏa hiệp đã có từ trước cho người trả giá cao nhất. Có nhiều mô hình kinh doanh đang diễn ra.

Thực tế ngày nay: Trường hợp dành cho Hộp cát đám mây nâng cao

Các nhóm bảo mật nên hiểu những kẻ thù ngày nay làm gì và hành động của họ có thể diễn ra nhanh như thế nào. Phần mềm độc hại tiên tiến trên thị trường hiện nay thậm chí còn nghiêm trọng hơn lừa đảo. Cho dù đó là Maldocs trốn tránh các bộ lọc, ransomware, kẻ đánh cắp thông tin, trojan truy cập từ xa (RAT) hay các công cụ hậu khai thác kết hợp các bộ công cụ, thì các tác nhân đe dọa đều tiên tiến hơn bao giờ hết—và mô hình kinh doanh của chúng cũng vậy.

Các biện pháp đối phó dựa trên hộp cát tiêu chuẩn không cung cấp nhiều cách phòng ngừa nội tuyến. Khả năng phát hiện kết hợp giữa đám mây và AI có thể ngăn chặn các mối đe dọa lén lút nhất trong nội tuyến, trong thời gian thực và trên quy mô lớn.

Nếu bạn không phát triển cùng với các đối thủ, bạn sẽ bị tụt lại phía sau. Bởi vì tội phạm mạng ngày nay cũng chuyên nghiệp và chơi trò chơi của chúng như bạn.

Tìm hiểu thêm Quan điểm đối tác từ Zscaler.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.