
Der Netzwerkzugriff Ihres Unternehmens ist entscheidend: So können Sie dagegen vorgehen Bericht
Die Insikt Group nutzte die Recorded FutureⓇ-Plattform, um tiefere Einblicke in die Monetarisierungsmechanismen für unbefugten Zugriff zu erhalten und durch den Einsatz von Sicherheitsinformationen umfassende Strategien zur Risikominderung für die Bekämpfung unbefugter Zugriffe zu entwickeln. Dieser Bericht ist für Unternehmen von Interesse, die sich Sorgen über unbefugten Zugriff und entsprechende Methoden zur Risikominderung machen.
Executive Summary
Historically, pay-per-install (PPI) services were the primary monetization route in the underground economy (UE) for commodity botnet operators. While botnets continue to feed PPI services, Recorded Future’s data reveals that offerings of unauthorized access are increasing, driven by larger monetization opportunities via direct sales or auctions in underground forums.
Basierend auf einer Analyse von Recorded Future geht die Insikt Group mit mittlerer Sicherheit davon aus, dass die Nachfrage nach direktem, unbefugtem Zugriff in der EU weiter steigen wird, was zu einer Zunahme opportunistischer und gezielter Angriffe führen wird. Nach der Beobachtung von Verkäufen und Auktionen in Foren in der EU und der Kommunikation mit Bedrohungsakteuren geht die Insikt Group davon aus, dass der erste unberechtigte Zugriff (der in Untergrundforen verkauft wird) hauptsächlich durch Phishing, die Wiederverwendung von Anmeldeinformationen, die Platzierung von Web-Shells oder die Ausnutzung falsch konfigurierter oder anfälliger Software erfolgt.
Wichtige Urteile
- Werbung für Pay-per-Install-Dienste (PPI) und der Direktverkauf von nicht autorisiertem Zugriff haben sich im Jahr 2017 mehr als verdreifacht und nehmen im Laufe der Zeit weiter zu.
- Ebenso hat sich die Anzahl eindeutiger Spitznamen, die für PPI-Dienste und unbefugten Zugriff werben, im Jahr 2017 mehr als verdreifacht und ist gegenüber dem Vorjahr gestiegen.
- Angesichts der jährlichen Zunahme beim Verkauf unberechtigter Zugriffe sind Kriminelle zu dem Schluss gekommen, dass sie ihre Gewinne durch den Verkauf an andere Kriminelle maximieren können, sei es im Rahmen von Einzelverkäufen oder Auktionen.
- Im öffentlichen Sektor und in Unternehmen wird es wahrscheinlich zu einem Anstieg gezielter und opportunistischer Angriffe kommen, da immer mehr Akteure versuchen, die Nachfrage nach spezifischen, nicht autorisierten Netzwerkzugriffen zu befriedigen.
- Informationssicherheitsexperten müssen sich auf die Verhinderung und Erkennung der vier Hauptmechanismen konzentrieren, die zu einem ersten unbefugten Zugriff führen: Phishing, Wiederverwendung von Anmeldeinformationen, Platzierung von Web-Shells und Ausnutzen bekannter Software-Schwachstellen.
Hintergrund
The underground economy (UE) is the totality of online actors and technology that facilitate the buying, selling, and trading of criminal goods and services. The UE has continually innovated and matured to maximize profits and avoid prosecution. Historically, much of the UE was focused on obtaining and monetizing stolen payment card data, but in 2007, the advent of multi-featured HTTP-based botnets like Zeus created a popular cottage industry known as pay-per-install (PPI).
The pay-per-install (PPI) ecosystem.
PPI relies on automated platforms where buyers pay for unauthorized access to victim computers to install malware payloads and/or other potentially unwanted applications (PUA). The price charged for each compromised computer is typically dependent on buyer demand for the country where the victim computers are located. PPI platforms (also known as affiliate networks) are natural third-party conduits for large infection (botnet or exploit kit) monetization. The PPI model is straightforward, but using a PPI platform introduces risk for botnet operators due to purposefully inaccurate installation statistics that increase profits for the PPI platform owner.
Similarly, PPI platforms are convenient mechanisms for buyers to quickly access large amounts of compromised computers and install further payloads, such as banking trojans, ransomware, adware, or spyware. The PPI model treats all infections/compromises as a generic commodity, regardless of victim organization — government, corporate, or residential. Traditionally, the only price differentiator is geography.
Advertisements of pay-per-install (PPI) services on the criminal underground. (Source: Recorded Future)
Conversely, UE actors are recognizing that unauthorized access to specific types of systems may translate to increased monetization potential. Actors are directly selling (or auctioning) unauthorized access through UE forums, which may involve more time and patience, but is more profitable than commodity PPI services.
The differences in monetization potential are stark. An actor capable of installing malware on 1,000 devices can expect a PPI service to pay between $0.05 and $0.20 per infection (depending on the geographic locations of the infected hosts). Even at the top end of the range, daily PPI revenue is $200 ($6,000 per month). This model treats any infection as a generic commodity, regardless of where the infection occurs.
Conversely, directly selling or auctioning access to one system or network (often a name brand enterprise or government agency) maximizes revenue. For example, Fxmsp Group is a prolific seller of unauthorized access, often securing $20,000 for access to one organization.
Verkauf spezifischer Netzwerkzugriffe zu höheren Preisen. (Quelle: Aufgezeichnete Zukunft)
Bedrohungsanalyse
Zunehmender PPI und Werbung mit unberechtigtem Zugriff
Recorded Future’s historical UE data demonstrates a year-over-year increase, beginning in 2016, in both PPI and unauthorized access advertising. The charts below illustrate the increasing advertising trends, which we expect to continue through 2019 (this year’s data was measured in August). The metrics are consistent when measured by advertisement content, and also when measured by unique author moniker.
To collect data on underground forum references and authors, Insikt Group constructed queries for mentions of “PPI” and “unauthorized access” on the Recorded Future platform. The queries were conducted based on common entities surrounding sales of either PPI or unauthorized access into systems, as well as text matches for various sales terms in multiple languages. False positives were culled from the data set by altering existing queries. For example, sales language for “access to” card verification values were a common false positive in multiple queries. Thus, queries were altered to deliberately exclude those references.
Beispiel einer Abfrage für unberechtigten Zugriff. (Quelle: Aufgezeichnete Zukunft)
PPI English query example. (Source: Recorded Future)
In addition, to count the number of actors mentioning either PPI or unauthorized access, while limiting as many false positives as possible, Insikt Group conducted automated aggregation of author monikers across multiple forums. Similar author monikers containing more than five letters (that were not common dictionary words) and posting on multiple forums only about PPI or unauthorized access were aggregated. While some of these monikers aggregated may not truly be the same actor, Insikt Group has assessed with medium confidence that a majority of these monikers are true positives, based on duplicate actor monikers and content. Furthermore, because the false duplicates are no longer counted, the data set represents a potential lower bound of the true number of PPI versus unauthorized access sales posts.
Number of authors by year mentioning either unauthorized access or PPI on criminal underground forums.
Based on the data, we were able to extract the number of authors mentioning unauthorized access and PPI in underground forums from January 2014 to September 2019. Unique monikers advertising PPI and unauthorized access have largely been increasing, and the number of authors from January to September 2019 is on par with the number of authors in previous years over a similar nine-month period.
Anzahl der Posts pro Jahr, die entweder auf unbefugten Zugriff oder PPI in kriminellen Untergrundforen verweisen.
In ähnlicher Weise hat die Insikt Group von Januar 2014 bis September 2019 die Beiträge zu unbefugtem Zugriff und PPI in Untergrundforen gesammelt. Die Daten zeigen auch deutlich, dass die Anzahl der PPI-Anzeigen und Anzeigen für nicht autorisierten Zugriff stetig zunimmt.
Bedeutender globaler Zugriff
Basierend auf der von Recorded Future in Foren gesammelten Daten unbefugter Zugriffe geht die Insikt Group mit mittlerer Sicherheit davon aus, dass der Fokus der Angriffe größtenteils auf Unternehmen des öffentlichen und/oder privaten Sektors liegt und sich auf Organisationen auf der ganzen Welt auswirkt. Seit Insikt im Dezember 2016 über einen russischsprachigen Kriminellen berichtete, der unbefugten Zugang zur US-Wahlhilfekommission (Election Assistance Commission, EAC) verkaufte, beobachtet die Insikt Group regelmäßig den Verkauf unbefugter Zugänge im kriminellen Untergrund. Nachfolgend finden Sie eine Auswahl bemerkenswerter Verkäufe oder Auktionen, basierend auf der beworbenen Zugriffsebene und dem Potenzial für negative Auswirkungen auf die Organisation. Die von den meisten Akteuren beworbenen Zugänge sind regelmäßig vage und enthalten keine konkreten Namen von Opferorganisationen.
Anhand der Analyse der unten stehenden Verkaufsbeiträge, des Engagements der Bedrohungsakteure und der von der Insikt Group in den letzten vier Jahren durchgeführten Auktionen für unberechtigten Zugriff kann die Insikt Group mit mittlerer Sicherheit feststellen, dass die folgenden vier Angriffsvektoren (in keiner bestimmten Reihenfolge nach Wichtigkeit) die primären Methoden sind, die zum Erreichen des ersten unberechtigten Zugriffs verwendet werden.
- Phishing
- Wiederverwendung von Anmeldeinformationen
- Platzierung der Web-Shell
- Ausnutzen einer bekannten Software-Sicherheitslücke
Auswahl an Auktionen und Verkäufen ohne autorisierten Zugriff. (2016–2019)
Profilerstellung für zwei Verkäufer mit unberechtigtem Zugriff: VincentVega und Fxmsp
Die folgenden beiden Fallstudien veranschaulichen das Monetarisierungspotenzial sowohl des gezielten als auch des opportunistischen Zugriffs.
VincentVega
VincentVega, Mitglied eines bekannten russischsprachigen kriminellen Untergrundforums, ist ein Paradebeispiel für einen Akteur, der sich opportunistischen Zugang zunutze macht. Der Akteur hatte sich Zugang zu einer der größten Investmentbanken und Sicherheitsfirmen Chinas verschafft (Bericht zum Umsatz 2015: 37,6 Milliarden RMB), indem er auf internetfähigen Systemen einen ungerichteten Brute-Force-Angriff auf RDP ausführte.
VincentVega wirbt für den Zugang zum internen Netzwerk eines chinesischen Unternehmens. (Quelle: Aufgezeichnete Zukunft)
Im August 2019 bewarb VincentVega einen externen Fernzugriff auf das lokale Netzwerk eines großen chinesischen Unternehmens für fünf Bitcoin. In seinem Beitrag behauptete der Akteur, er habe sich zunächst Zugang zum Netzwerk verschafft, indem er IPs mit RDP-Zugriff per Brute-Force-Angriff geknackt habe. Sie gaben an, dass das lokale Netzwerk 20.000 funktionierende lokale IPs enthält, von denen etwa 865 über RDP-Zugriff verfügen, während 500 der betroffenen Hosts auch über Administratorzugriff verfügen. In ihrem Beitrag gaben sie an, den Zugang zu verkaufen, weil sie zwar wüssten, dass dieser wertvoll sei, jedoch nicht wüssten, wie sie ihn monetarisieren könnten.
Aufgrund dieser zugegebenermaßen unbekannten Tatsachen geht die Insikt Group davon aus, dass VincentVega bei einem ungezielten Versuch, IPs mit schlecht passwortgeschützten RDP-Diensten zu finden, auf das Unternehmen gestoßen ist. Als der Angreifer sich jedoch erst einmal im Firmennetzwerk befand, erkannte er, dass es je nach Größe und Funktionalität des Netzwerks zahlreiche Möglichkeiten gab, den Zugriff auf das Netzwerk zu monetarisieren und zu verkaufen.
Fxmsp-Gruppe
Die Fxmsp Group hingegen ist ein klares Beispiel dafür, wie ein Unternehmen durch unbefugte Eindringversuche in großem Maßstab einen hohen Profit erzielen kann. Bei der Gruppe handelt es sich um ein russisch- und englischsprachiges Kollektiv cyberkrimineller Täter, die es auf eine große Bandbreite von Opfern weltweit abgesehen haben und diesen unberechtigten Netzwerkzugriff verkaufen. Dazu zählen Unternehmen aus dem Finanzsektor, dem E-Commerce-Bereich, der Industrie und staatliche Institutionen. Die Fxmsp Group kompromittiert häufig große Mengen an Netzwerken, um sie an andere Cyberkriminelle weiterzuverkaufen. Seit 2017 ist die Fxmsp Group in globale Unternehmens- und Regierungsnetzwerke eingedrungen und hat den unbefugten Zugriff anschließend für Beträge zwischen einigen Hundert und über 100.000 US-Dollar verkauft.
Beiträge von Nikolay von der Fxmsp Group, der Zugang zu Netzwerken verschiedener Organisationen verkauft.
Die Fxmsp Group zeigt Geduld und Koordination unter den Teammitgliedern. Dem Akteur mit dem Spitznamen „Fxmsp“ wird vorgeworfen, Netzwerke kompromittiert zu haben, während die Akteure mit den Spitznamen „Lampeduza“, „Antony Moricone“, „Nikolay“, „BigPetya“ und anderen für die Maximierung der Monetarisierung durch unbefugten Zugriff verantwortlich sind.
Wir gehen mit mittlerer Sicherheit davon aus, dass die Fxmsp Group versucht, unbefugten Zugriff über ein Netzwerk privater Kontakte zu monetarisieren, bevor sie quasi-öffentlich einen Verkaufsthread oder eine Auktion für einen größeren Käuferkreis erstellt. Dies lässt darauf schließen, dass die von der Fxmsp Group initiierten Forenauktionen nur einen Bruchteil der verfügbaren unbefugten Zugriffe ausmachen, die die Fxmsp Group zu einem bestimmten Zeitpunkt zu Geld zu machen versucht.
Ausblick
Wir gehen davon aus, dass die Zahl der unbefugten Zugriffe und Direktverkäufe mit vermeintlichem Nutzen für das Opfer in absehbarer Zukunft weiter zunehmen wird. Malwarespezifische PPI-Partnerdienste werden in der EU weiterhin kriminellen Wert bieten, allerdings sind Malware-Infektionen im PPI-System weniger profitabel als opportunistischer und gezielter unbefugter Zugriff.
Fachleute für Informationssicherheit sollten sich auf die Implementierung und Überprüfung präventiver Best Practices in Verbindung mit internen proaktiven Erkennungsbemühungen im Hinblick auf die folgenden vier primären Methoden zur Schaffung eines ersten unbefugten Zugriffs konzentrieren: Phishing, Wiederverwendung von Anmeldeinformationen, Platzierung von Web-Shells und Ausnutzen von Sicherheitslücken.
Risikominimierung
Security intelligence is necessary to quickly detect initial unauthorized access via threat hunting methodologies. These methodologies should grow over time as operational practitioners increase their knowledge of adversary tactics and the internal network environment. A new methodology should lead to an ongoing hunting implementation via an automation/orchestration (SOAR) workflow. This section will provide mitigation recommendations for the four primary initial access methodologies found by Insikt Group.
Phishing
For example, reviewing email content and attachments quarantined by an email security gateway provides basic awareness of adversary tactics that have previously failed, while also presenting valuable examples where derivative technique modifications may succeed in the future. An email security appliance may be configured to block specific inbound file attachments1 (for example, “hta” — HTML executable), but it fails to block malicious email containing third-party website links.
Thus, the focus of a phishing hunting methodology would in this case entail identifying new domains likely to be used for phishing (email body content) based on the domain’s lexical proximity to prolific cloud provider domains (such as DocuSign, Google mail services, Microsoft Office365, Amazon storage, etc). Security intelligence provides new domain candidates which should then be used for improving email security gateway content inspection and detection in DNS telemetry or web proxy appliance resolution.
Aufgezeichnete Future-Abfrage zur Identifizierung neuer Phishing-Domänen.
Wiederverwendung von Anmeldeinformationen
Vigilance in asset management and removing internet-facing systems running applications without multi-factor authentication is good hygiene for preventing credential reuse, and in the case of RDP, brute-force attacks. Security intelligence reduces the risk of adversary credential reuse by surfacing compromised credentials primarily from database breaches. The corresponding SOAR workflow should search Active Directory for users matching newly discovered credential sets. Whenever a valid user is found in a credential set, a password reset is initiated.
Platzierung der Web-Shell
Adversaries typically place web shells on web servers via a software vulnerability or misconfiguration. A web shell will often evade a web application firewall (WAF) and enable long-term persistence on one or more web servers. Adversaries use web shells to exploit information resources or gain unauthorized access to additional systems. Security intelligence is an important component of web shell hunting, which requires continuous identification of new web shells and associated feature assessments. For example, older web shells use basic, form, or digest HTTP authentication, which is straightforward to identify in network telemetry (Zeek is a valuable open source tool for network protocol parsing and analysis).
Additionally, YARA rules are another open source resource to identify specific web shells based on file conditions (typically strings).
Neue Web-Shells auftauchen. (Quelle: Aufgezeichnete Zukunft)
Ausnutzen einer bekannten Software-Sicherheitslücke
Die kontinuierliche Priorisierung und Ausführung von Patches in einer Unternehmensumgebung ist eine Herausforderung, aber Sicherheitsinformationen können hilfreich sein, indem sie neue Schwachstellen aus der Zeit vor NVD aufdecken und vorhandene Schwachstellen verbessern, insbesondere bei Hinweisen auf eine Ausnutzung „in freier Wildbahn“.
Zusätzlicher Kontext zu Schwachstellen bereitgestellt durch Recorded Future Intelligence Cards ™ . (Quelle: Aufgezeichnete Zukunft)
Fußnoten
1https://www.cyber.gov.au/publications/malicious-email-mitigation-strategies