Der Netzwerkzugriff Ihres Unternehmens ist entscheidend: So können Sie dagegen vorgehen

Der Netzwerkzugriff Ihres Unternehmens ist entscheidend: So können Sie dagegen vorgehen Bericht

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Die Insikt Group nutzte die Recorded FutureⓇ-Plattform, um tiefere Einblicke in die Monetarisierungsmechanismen für unbefugten Zugriff zu erhalten und durch den Einsatz von Sicherheitsinformationen umfassende Strategien zur Risikominderung für die Bekämpfung unbefugter Zugriffe zu entwickeln. Dieser Bericht ist für Unternehmen von Interesse, die sich Sorgen über unbefugten Zugriff und entsprechende Methoden zur Risikominderung machen.

Executive Summary

Historically, pay-per-install (PPI) services were the primary monetization route in the underground economy (UE) for commodity botnet operators. While botnets continue to feed PPI services, Recorded Future’s data reveals that offerings of unauthorized access are increasing, driven by larger monetization opportunities via direct sales or auctions in underground forums.

Basierend auf einer Analyse von Recorded Future geht die Insikt Group mit mittlerer Sicherheit davon aus, dass die Nachfrage nach direktem, unbefugtem Zugriff in der EU weiter steigen wird, was zu einer Zunahme opportunistischer und gezielter Angriffe führen wird. Nach der Beobachtung von Verkäufen und Auktionen in Foren in der EU und der Kommunikation mit Bedrohungsakteuren geht die Insikt Group davon aus, dass der erste unberechtigte Zugriff (der in Untergrundforen verkauft wird) hauptsächlich durch Phishing, die Wiederverwendung von Anmeldeinformationen, die Platzierung von Web-Shells oder die Ausnutzung falsch konfigurierter oder anfälliger Software erfolgt.

Wichtige Urteile

Hintergrund

The underground economy (UE) is the totality of online actors and technology that facilitate the buying, selling, and trading of criminal goods and services. The UE has continually innovated and matured to maximize profits and avoid prosecution. Historically, much of the UE was focused on obtaining and monetizing stolen payment card data, but in 2007, the advent of multi-featured HTTP-based botnets like Zeus created a popular cottage industry known as pay-per-install (PPI).

The pay-per-install (PPI) ecosystem.
PPI relies on automated platforms where buyers pay for unauthorized access to victim computers to install malware payloads and/or other potentially unwanted applications (PUA). The price charged for each compromised computer is typically dependent on buyer demand for the country where the victim computers are located. PPI platforms (also known as affiliate networks) are natural third-party conduits for large infection (botnet or exploit kit) monetization. The PPI model is straightforward, but using a PPI platform introduces risk for botnet operators due to purposefully inaccurate installation statistics that increase profits for the PPI platform owner.
Similarly, PPI platforms are convenient mechanisms for buyers to quickly access large amounts of compromised computers and install further payloads, such as banking trojans, ransomware, adware, or spyware. The PPI model treats all infections/compromises as a generic commodity, regardless of victim organization — government, corporate, or residential. Traditionally, the only price differentiator is geography.

Advertisements of pay-per-install (PPI) services on the criminal underground. (Source: Recorded Future)
Conversely, UE actors are recognizing that unauthorized access to specific types of systems may translate to increased monetization potential. Actors are directly selling (or auctioning) unauthorized access through UE forums, which may involve more time and patience, but is more profitable than commodity PPI services.
The differences in monetization potential are stark. An actor capable of installing malware on 1,000 devices can expect a PPI service to pay between $0.05 and $0.20 per infection (depending on the geographic locations of the infected hosts). Even at the top end of the range, daily PPI revenue is $200 ($6,000 per month). This model treats any infection as a generic commodity, regardless of where the infection occurs.
Conversely, directly selling or auctioning access to one system or network (often a name brand enterprise or government agency) maximizes revenue. For example, Fxmsp Group is a prolific seller of unauthorized access, often securing $20,000 for access to one organization.

Verkauf spezifischer Netzwerkzugriffe zu höheren Preisen. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Zunehmender PPI und Werbung mit unberechtigtem Zugriff

Recorded Future’s historical UE data demonstrates a year-over-year increase, beginning in 2016, in both PPI and unauthorized access advertising. The charts below illustrate the increasing advertising trends, which we expect to continue through 2019 (this year’s data was measured in August). The metrics are consistent when measured by advertisement content, and also when measured by unique author moniker.
To collect data on underground forum references and authors, Insikt Group constructed queries for mentions of “PPI” and “unauthorized access” on the Recorded Future platform. The queries were conducted based on common entities surrounding sales of either PPI or unauthorized access into systems, as well as text matches for various sales terms in multiple languages. False positives were culled from the data set by altering existing queries. For example, sales language for “access to” card verification values were a common false positive in multiple queries. Thus, queries were altered to deliberately exclude those references.

Beispiel einer Abfrage für unberechtigten Zugriff. (Quelle: Aufgezeichnete Zukunft)

PPI English query example. (Source: Recorded Future)
In addition, to count the number of actors mentioning either PPI or unauthorized access, while limiting as many false positives as possible, Insikt Group conducted automated aggregation of author monikers across multiple forums. Similar author monikers containing more than five letters (that were not common dictionary words) and posting on multiple forums only about PPI or unauthorized access were aggregated. While some of these monikers aggregated may not truly be the same actor, Insikt Group has assessed with medium confidence that a majority of these monikers are true positives, based on duplicate actor monikers and content. Furthermore, because the false duplicates are no longer counted, the data set represents a potential lower bound of the true number of PPI versus unauthorized access sales posts.

Number of authors by year mentioning either unauthorized access or PPI on criminal underground forums.
Based on the data, we were able to extract the number of authors mentioning unauthorized access and PPI in underground forums from January 2014 to September 2019. Unique monikers advertising PPI and unauthorized access have largely been increasing, and the number of authors from January to September 2019 is on par with the number of authors in previous years over a similar nine-month period.

Anzahl der Posts pro Jahr, die entweder auf unbefugten Zugriff oder PPI in kriminellen Untergrundforen verweisen.

In ähnlicher Weise hat die Insikt Group von Januar 2014 bis September 2019 die Beiträge zu unbefugtem Zugriff und PPI in Untergrundforen gesammelt. Die Daten zeigen auch deutlich, dass die Anzahl der PPI-Anzeigen und Anzeigen für nicht autorisierten Zugriff stetig zunimmt.

Bedeutender globaler Zugriff

Basierend auf der von Recorded Future in Foren gesammelten Daten unbefugter Zugriffe geht die Insikt Group mit mittlerer Sicherheit davon aus, dass der Fokus der Angriffe größtenteils auf Unternehmen des öffentlichen und/oder privaten Sektors liegt und sich auf Organisationen auf der ganzen Welt auswirkt. Seit Insikt im Dezember 2016 über einen russischsprachigen Kriminellen berichtete, der unbefugten Zugang zur US-Wahlhilfekommission (Election Assistance Commission, EAC) verkaufte, beobachtet die Insikt Group regelmäßig den Verkauf unbefugter Zugänge im kriminellen Untergrund. Nachfolgend finden Sie eine Auswahl bemerkenswerter Verkäufe oder Auktionen, basierend auf der beworbenen Zugriffsebene und dem Potenzial für negative Auswirkungen auf die Organisation. Die von den meisten Akteuren beworbenen Zugänge sind regelmäßig vage und enthalten keine konkreten Namen von Opferorganisationen.

Anhand der Analyse der unten stehenden Verkaufsbeiträge, des Engagements der Bedrohungsakteure und der von der Insikt Group in den letzten vier Jahren durchgeführten Auktionen für unberechtigten Zugriff kann die Insikt Group mit mittlerer Sicherheit feststellen, dass die folgenden vier Angriffsvektoren (in keiner bestimmten Reihenfolge nach Wichtigkeit) die primären Methoden sind, die zum Erreichen des ersten unberechtigten Zugriffs verwendet werden.

Datum
Schauspieler
Zugang
Dezember 2016
Rasputin
US-Wahlhilfekommission (EAC)
Oktober 2017
Ein gewalttätiger Gott
Eine US-Nachrichten-Website mit zwei Millionen Lesern
Dezember 2017
Freundlich unfreundlich
540 Web-Shells von US-Medienunternehmen und 15 Admin-Panels von EU-Medienressourcen (22.000 US-Dollar)
Juni 2018
Maklaud
Verkehrsdatenbanken der Moskauer Polizei (25.000 $)
Dezember 2018
Zifus
300 italienische E-Commerce-Web-Shells (3.000 $)
Januar 2019
Wolfram
Asiatische E-Commerce-Website (10.000 $)
März 2019
asadi64
Remote Desktop Protocol (RDP)-Zugriff auf ein großes US-Ölunternehmen
März 2019
BigPetya (Fxmsp)
Asiatischer Automobilhersteller
April 2019
weste
VNC-Zugriff auf 22 Computer in neun verschiedenen US-Hotels
April 2019
Aaaakkkka
Interner Kreditcomputer einer italienischen Bank (2.000 $)
Mai 2019
Abonnieren
Web-Shell-Zugriff auf eine Waffenfabrik
Juni 2019
truniger
RDP-Zugriff mit Administratorrechten auf eine italienische Gemeinde
Juni 2019
Stil
Customer-Relationship-Management-System (CRM) einer neuseeländischen Investmentfirma (10.000 $)
Juni 2019
AD0
Unternehmensnetzwerk eines internationalen Online-Händlers (25.000 $)
Juni 2019
Aaaakkkka
Verkauft Zugang zum Server eines nicht näher bezeichneten Energieversorgers (600 $)
August 2019
SHERIFF
Administratorzugriff auf die Datenbank eines großen australischen Bauunternehmens (12.000 $)
August 2019
B.Gesucht
Domänenadministratorrechte für ein Netzwerk mit 19.000 PCs in 20 Gesundheitskliniken in Louisiana
August 2019
bc.monster
Das Netzwerk eines US-Energiekonzerns
August 2019
johnsherlock, Infoshell
SSH-Zugriff (Secure Shell) auf das Netzwerk eines multinationalen Gesundheitsunternehmens
August 2019
-TMT-
Administrativer Zugang zum Netzwerk einer brasilianischen Hypermarktkette
August 2019
VincentVega
Großes chinesisches Finanzunternehmen (5BTC)
September 2019
Katavasya
Neuseeländische E-Commerce-Site für Schusswaffen und Munitionszubehör
September 2019
Antony Moricone, (Fxmsp)
Unternehmensnetzwerk eines deutschen Herstellers dekorativer Beleuchtung, einschließlich 10 Domänencontrollern
September 2019
Juventus1
Administratives Webpanel einer asiatischen Fluggesellschaft
September 2019
Gabriele1
Netzwerk (mit über tausend Computern) eines US-amerikanischen Öl- und Gasexplorationsunternehmens (24.000 US-Dollar)
September 2019
OS-Version:
Antiviren-Website mit hohem Datenverkehr (8.000 $)

Auswahl an Auktionen und Verkäufen ohne autorisierten Zugriff. (2016–2019)

Profilerstellung für zwei Verkäufer mit unberechtigtem Zugriff: VincentVega und Fxmsp

Die folgenden beiden Fallstudien veranschaulichen das Monetarisierungspotenzial sowohl des gezielten als auch des opportunistischen Zugriffs.

VincentVega

VincentVega, Mitglied eines bekannten russischsprachigen kriminellen Untergrundforums, ist ein Paradebeispiel für einen Akteur, der sich opportunistischen Zugang zunutze macht. Der Akteur hatte sich Zugang zu einer der größten Investmentbanken und Sicherheitsfirmen Chinas verschafft (Bericht zum Umsatz 2015: 37,6 Milliarden RMB), indem er auf internetfähigen Systemen einen ungerichteten Brute-Force-Angriff auf RDP ausführte.

VincentVega wirbt für den Zugang zum internen Netzwerk eines chinesischen Unternehmens. (Quelle: Aufgezeichnete Zukunft)

Im August 2019 bewarb VincentVega einen externen Fernzugriff auf das lokale Netzwerk eines großen chinesischen Unternehmens für fünf Bitcoin. In seinem Beitrag behauptete der Akteur, er habe sich zunächst Zugang zum Netzwerk verschafft, indem er IPs mit RDP-Zugriff per Brute-Force-Angriff geknackt habe. Sie gaben an, dass das lokale Netzwerk 20.000 funktionierende lokale IPs enthält, von denen etwa 865 über RDP-Zugriff verfügen, während 500 der betroffenen Hosts auch über Administratorzugriff verfügen. In ihrem Beitrag gaben sie an, den Zugang zu verkaufen, weil sie zwar wüssten, dass dieser wertvoll sei, jedoch nicht wüssten, wie sie ihn monetarisieren könnten.

Aufgrund dieser zugegebenermaßen unbekannten Tatsachen geht die Insikt Group davon aus, dass VincentVega bei einem ungezielten Versuch, IPs mit schlecht passwortgeschützten RDP-Diensten zu finden, auf das Unternehmen gestoßen ist. Als der Angreifer sich jedoch erst einmal im Firmennetzwerk befand, erkannte er, dass es je nach Größe und Funktionalität des Netzwerks zahlreiche Möglichkeiten gab, den Zugriff auf das Netzwerk zu monetarisieren und zu verkaufen.

Fxmsp-Gruppe

Die Fxmsp Group hingegen ist ein klares Beispiel dafür, wie ein Unternehmen durch unbefugte Eindringversuche in großem Maßstab einen hohen Profit erzielen kann. Bei der Gruppe handelt es sich um ein russisch- und englischsprachiges Kollektiv cyberkrimineller Täter, die es auf eine große Bandbreite von Opfern weltweit abgesehen haben und diesen unberechtigten Netzwerkzugriff verkaufen. Dazu zählen Unternehmen aus dem Finanzsektor, dem E-Commerce-Bereich, der Industrie und staatliche Institutionen. Die Fxmsp Group kompromittiert häufig große Mengen an Netzwerken, um sie an andere Cyberkriminelle weiterzuverkaufen. Seit 2017 ist die Fxmsp Group in globale Unternehmens- und Regierungsnetzwerke eingedrungen und hat den unbefugten Zugriff anschließend für Beträge zwischen einigen Hundert und über 100.000 US-Dollar verkauft.

Beiträge von Nikolay von der Fxmsp Group, der Zugang zu Netzwerken verschiedener Organisationen verkauft.

Die Fxmsp Group zeigt Geduld und Koordination unter den Teammitgliedern. Dem Akteur mit dem Spitznamen „Fxmsp“ wird vorgeworfen, Netzwerke kompromittiert zu haben, während die Akteure mit den Spitznamen „Lampeduza“, „Antony Moricone“, „Nikolay“, „BigPetya“ und anderen für die Maximierung der Monetarisierung durch unbefugten Zugriff verantwortlich sind.

Wir gehen mit mittlerer Sicherheit davon aus, dass die Fxmsp Group versucht, unbefugten Zugriff über ein Netzwerk privater Kontakte zu monetarisieren, bevor sie quasi-öffentlich einen Verkaufsthread oder eine Auktion für einen größeren Käuferkreis erstellt. Dies lässt darauf schließen, dass die von der Fxmsp Group initiierten Forenauktionen nur einen Bruchteil der verfügbaren unbefugten Zugriffe ausmachen, die die Fxmsp Group zu einem bestimmten Zeitpunkt zu Geld zu machen versucht.

Ausblick

Wir gehen davon aus, dass die Zahl der unbefugten Zugriffe und Direktverkäufe mit vermeintlichem Nutzen für das Opfer in absehbarer Zukunft weiter zunehmen wird. Malwarespezifische PPI-Partnerdienste werden in der EU weiterhin kriminellen Wert bieten, allerdings sind Malware-Infektionen im PPI-System weniger profitabel als opportunistischer und gezielter unbefugter Zugriff.

Fachleute für Informationssicherheit sollten sich auf die Implementierung und Überprüfung präventiver Best Practices in Verbindung mit internen proaktiven Erkennungsbemühungen im Hinblick auf die folgenden vier primären Methoden zur Schaffung eines ersten unbefugten Zugriffs konzentrieren: Phishing, Wiederverwendung von Anmeldeinformationen, Platzierung von Web-Shells und Ausnutzen von Sicherheitslücken.

Risikominimierung

Security intelligence is necessary to quickly detect initial unauthorized access via threat hunting methodologies. These methodologies should grow over time as operational practitioners increase their knowledge of adversary tactics and the internal network environment. A new methodology should lead to an ongoing hunting implementation via an automation/orchestration (SOAR) workflow. This section will provide mitigation recommendations for the four primary initial access methodologies found by Insikt Group.

Phishing

For example, reviewing email content and attachments quarantined by an email security gateway provides basic awareness of adversary tactics that have previously failed, while also presenting valuable examples where derivative technique modifications may succeed in the future. An email security appliance may be configured to block specific inbound file attachments1 (for example, “hta” — HTML executable), but it fails to block malicious email containing third-party website links.
Thus, the focus of a phishing hunting methodology would in this case entail identifying new domains likely to be used for phishing (email body content) based on the domain’s lexical proximity to prolific cloud provider domains (such as DocuSign, Google mail services, Microsoft Office365, Amazon storage, etc). Security intelligence provides new domain candidates which should then be used for improving email security gateway content inspection and detection in DNS telemetry or web proxy appliance resolution.

Aufgezeichnete Future-Abfrage zur Identifizierung neuer Phishing-Domänen.

Wiederverwendung von Anmeldeinformationen

Vigilance in asset management and removing internet-facing systems running applications without multi-factor authentication is good hygiene for preventing credential reuse, and in the case of RDP, brute-force attacks. Security intelligence reduces the risk of adversary credential reuse by surfacing compromised credentials primarily from database breaches. The corresponding SOAR workflow should search Active Directory for users matching newly discovered credential sets. Whenever a valid user is found in a credential set, a password reset is initiated.

Platzierung der Web-Shell

Adversaries typically place web shells on web servers via a software vulnerability or misconfiguration. A web shell will often evade a web application firewall (WAF) and enable long-term persistence on one or more web servers. Adversaries use web shells to exploit information resources or gain unauthorized access to additional systems. Security intelligence is an important component of web shell hunting, which requires continuous identification of new web shells and associated feature assessments. For example, older web shells use basic, form, or digest HTTP authentication, which is straightforward to identify in network telemetry (Zeek is a valuable open source tool for network protocol parsing and analysis).
Additionally, YARA rules are another open source resource to identify specific web shells based on file conditions (typically strings).

Neue Web-Shells auftauchen. (Quelle: Aufgezeichnete Zukunft)

Ausnutzen einer bekannten Software-Sicherheitslücke

Die kontinuierliche Priorisierung und Ausführung von Patches in einer Unternehmensumgebung ist eine Herausforderung, aber Sicherheitsinformationen können hilfreich sein, indem sie neue Schwachstellen aus der Zeit vor NVD aufdecken und vorhandene Schwachstellen verbessern, insbesondere bei Hinweisen auf eine Ausnutzung „in freier Wildbahn“.

Zusätzlicher Kontext zu Schwachstellen bereitgestellt durch Recorded Future Intelligence Cards ™ . (Quelle: Aufgezeichnete Zukunft)

Fußnoten

1https://www.cyber.gov.au/publications/malicious-email-mitigation-strategies