このレポートでは、クレデンシャルスタッフィング攻撃の現在の脅威の状況を取り上げています。 サイバー犯罪者がクレデンシャルスタッフィングを開始するために使用する最も一般的なツールをレビューし、侵害されたクレデンシャルを販売する最も人気のあるマーケットプレイスのいくつかについて説明します。 このレポートには、Recorded Future(R) Platformを使用して収集された情報と、追加のオープンソース、ダークウェブ、アンダーグラウンドフォーラムの調査が含まれており、eコマース、通信、金融機関をクレデンシャルスタッフィング攻撃から保護するアナリストや、そのような攻撃を実行する脅威アクターの調査手がかりを探しているアナリストにとって最も興味深いものとなるでしょう。

Executive Summary

アカウントチェックソフトウェア、電子メールとパスワードのコンボリスト、プロキシサービスプロバイダーなどのサポートインフラストラクチャの普及により、ダークウェブ上の自動化されたマーケットプレイスが急速に普及し、eコマース、金融サービス、旅行Webサイト、通信会社などの何千もの一般的なWebサービスの悪用に最適な攻撃環境が生まれました。 ここ数年、オンライン小売業を展開するほぼすべての大企業が、ユーザーをクレデンシャルスタッフィング攻撃にさらしており、一部の企業では、いつでもダークウェブで数百万件以上のログイン認証情報が公開されていると考えて間違いありません。

主な判断

• クレデンシャルスタッフィング攻撃が初めて広まったのは2014年後半で、自動化されたアンダーグラウンドマーケットプレイスの急増と同時期に観測されました。 アカウントを販売する際、攻撃者は侵害されたアカウント認証情報を迅速かつ簡単に収益化できるようにしました。 クレデンシャルスタッフィング攻撃に関与した一部のアクターは、現在も活動しています。
• わずか550ドルの投資で、犯罪者は侵害されたログイン資格情報の販売で少なくとも20倍の利益を得ることが期待できます。
• いくつかの大規模なマーケットプレイスで侵害されたログイン認証情報の全体的な供給は、数千万を超えるアカウントです。
• Insikt Groupは、サイバー犯罪者が使用するアカウントチェックソフトウェアの少なくとも6つの一般的な亜種を特定しました。しかし、ダークウェブには、あまり知られていない亜種が多数あります。
• 一部の企業は、クレデンシャルスタッフィング攻撃ベクトルをブロックする多要素認証(MFA)の実装を選択するかもしれませんが、組織は利便性よりもセキュリティを選択する準備ができていない可能性があります。

背景

2014年後半から2015年初頭にかけて、完全に自動化された方法で大量の取引を促進するために特別に調整された新しいダークウェブビジネスモデルが広く採用されていることを確認しました。 eBayやAmazonなどの合法的な小売プラットフォームを模倣するように設計されたこれらのいわゆる「自動ショップ」により、低レベルの犯罪者でも、独自のインフラストラクチャやマーケティングキャンペーンの維持を心配することなく、侵害されたログイン資格情報などの盗まれたデータのベンダーになることができます。 概して、アカウントマーケットプレイスの採用は、主にクレデンシャルスタッフィング攻撃の主要なツールとして使用されるアカウントチェックソフトウェア、または単に「チェッカー」の普及によって可能になりました。

脅威分析

アカウントの認証情報の侵害は、ダークウェブでは常に貴重な商品であり、取引数は比較的少なく、主にピアツーピアベースで、またはAlphaBay、Silk Road、Hansa Marketなどの半自動市場を介して行われていました。 古いモデルでは、売り手が取引を手動で承認し、購入したデータを配信した後にのみ、買い手が商品を受け取りました。 さらに、売り手はリストを維持し、買い手と個人的にコミュニケーションをとる必要がありました。

しかし、自動化されたショップの出現により、手動のエンゲージメントの必要性がなくなり、侵害されたアカウントのビジネスは、ピアツーピアの取引から、はるかに民主化された、誰にでも開かれた企業へと完全に移行しました。

各販売額から名目上の10〜15%の手数料を差し引くことで、メンバーは、電子メールとパスワードに加えて、アカウント所有者の居住地または居住州、取引履歴、および/またはアカウント残高などのデータを含む、検証済みの侵害されたアカウントをいくつでもアップロードできます。 これらはすべて、特定のニーズに合わせたアカウントを購入しようとする詐欺師にとって貴重なデータです。 ベンダーの主な焦点は在庫の補充ですが、すべてのカスタマーサポート、送金、および紛争解決はショップのサポートチームによって処理されます。

自動ショップ リスティング。 購入者は、侵害された会社名に加えて、利用可能な残高またはロイヤルティポイント、アカウント所有者の居住地、関連する支払いカード、最後の取引の日付、およびアカウント所有者のログイン電子メールのホスト名を確認できます。

当初、盗まれたデータの主要な供給元となったのは、ほんの一握りの選ばれたベンダーだけでしたが、その手口が犯罪組織のメンバーの間で共有されるにつれて、盗まれた認証情報のビジネスは飛躍的に成長しました。

通常のインターネットユーザーは複数のWebサイトで同じパスワードを使用する傾向があるため、脅威アクターはすぐに、非常に長い時間がかかる可能性のある個々のアカウントへのアクセスを取得しようとするのではなく、複数のランダムなアカウントをハッキングすることに集中して労力を減らす必要があることを学びました。

いくつかの要素を組み合わせることで、さまざまなオンラインサービスアカウントのハッキングが簡単になっただけでなく、信じられないほど儲かるようになりました。 アカウント・ブルートフォース攻撃(クレデンシャル・スタッフィング攻撃とも呼ばれる)を開始するには、攻撃者はブルートフォース・ソフトウェア、ランダムな電子メールとパスワードの組み合わせのデータベース、プロキシのプールへのアクセスのみを必要としました。

経済学

チェッカーの初期バージョンは、1つの企業をターゲットにして作られ、ツールの機能に応じて50ドルから250ドルで販売されていました。 これらのツールは、ダークウェブでよく入手したランダムなデータベースから取得した電子メールとパスワードの組み合わせを使用してWebサイトにログインしようとします。 組み合わせが機能した場合、有効としてマークされます。 そうでない場合、ソフトウェアはリストから別の組み合わせを選択して、再度ログインを試みます。 有効なログインの場合、より高価で複雑なチェッカーは、リンクされた銀行および支払いカード情報、口座残高、所有者の住所、さらには取引履歴など、侵害されたアカウントから追加情報も収集します。 今日まで、この方法の創意工夫は規模の経済にあり、犯罪者は非常に短期間で何十万もの組み合わせを処理することができます。

最終的に、STORM、Black Bullet、Sentry MBAなどのいくつかの支配的なプレーヤーが、より堅牢なツールで市場に参入し、「configs」とも呼ばれる無制限の数のカスタムプラグインをサポートし、ハッカーにオンライン小売業を持つほぼすべての企業を標的にする機能を提供しました。

当初は数百から数千のアカウントが侵害されたことから始まったものが、すぐに数十万、さらには数百万のアカウントに膨れ上がりました。 最も著名なアカウントショップの中には、常に数千万の侵害されたアカウントが販売されているところもあります。

この競争により、侵害された1つのアカウントの平均価格は10ドル以上からわずか1ドルから2ドルにまで下がりましたが、クレデンシャルスタッフィング攻撃の全体的な収益性は、その量によって大幅に増加しました。

時間の経過とともに観察されたアンダーグラウンドのおしゃべりによると、クレデンシャルスタッフィングの平均成功率は1〜3%です。 したがって、攻撃者は、電子メールとパスワードのランダムな組み合わせが100万件ごとに、10,000から30,000のアカウントを侵害する可能性があります。 さらに、同じデータベースを何度も再利用して、数十の異なるWebサイトをハッキングし、さらに高い利益を生み出すことができます。

侵害された電子メールとパスワード10万件あたり1%という控えめな成功率に基づくと、クレデンシャルスタッフィング攻撃の背後にある経済性は、少なくとも20倍高い利益レベルを明らかにしています。

技術的分析

以下は、サイバー犯罪者がクレデンシャルスタッフィングキャンペーンで使用するアカウントチェックソフトウェアの最も顕著な亜種です。 1つの企業をターゲットにして構築されることが多い、あまり知られていないソリューションも購入できることに注意することが重要です。 ただし、このような1回限りのツールは、市場で大きな存在感を示すことはめったになく、採用が遅いために開発者が製品サポートを停止するため、すぐに消える傾向があります。

嵐

STORMは、いくつかの英語のフォーラムで販売されており、他のアカウントチェックツールとは異なり、無料で利用できます。 ただし、ユーザーは寄付をすることが推奨されています。 開発者の正確な身元は不明です。しかし、Underground Forum Chatterによると、このソフトウェアは俳優のMrviperによって作成されたとされています。 STORMは2018年1月に初めてローンチされ、ダークウェブの広告に記載されている説明によると、Webサイトのセキュリティテストを行うために設計された無料の「クラッキング」プログラムとして特徴付けられています。 STORMはC言語で書かれており、Crackedフォーラムのメンバーと緊密に協力して開発されました。 このツールには、次の技術的機能があります。

• FTPクラッキングをサポート
• FTP 攻撃と HTTP 攻撃の同時実行
• 同時セッション
• アクティビティ分析のデバッグ機能
• 最大2,000万件の電子メール:パスワードレコードのコンボリストをサポート
• HTTP/HTTPS対応
• SOCKS4およびSOCKS5をサポート
• パブリックソースからの自動収集によるプロキシ自動更新
• キーワードキャプチャ(プレミアムアカウントの詳細の収集)
• JavaScript リダイレクト

ダークウェブ上のSTORMアカウントクラッカー広告。

ブラックブレット

Black Bulletは2018年初頭にダークウェブに初めて登場し、公式 www.bullet[.]黒い ウェブサイト;しかし、メインページにある情報によると、コミュニティは新しいメンバーを受け入れなくなりました。 ダルトンビーン8やドーベルマンなど、ダークウェブの複数のメンバーがこのツールを配布していることが確認されました。

他のアカウントチェックツールとは対照的に、BlackBulletはマルチスレッド機能を提供しておらず、一度に1つの企業のみを攻撃することができます。 このツールには、特定のアカウントに対して実行したときに辞書攻撃を実行できるブルートフォース機能も付属しています。

• キャプチャのバイパス
• 構成ファイル: ~ 530;ただし、ユーザーは自分で構成を変更および作成するオプションがあります
• Selenium Webdriver のサポート
• 価格:30ドルから50ドルの間

BlackBullet V.2.0.2コントロールパネルインターフェイス。

プライベートキーパー

Private Keeperは、俳優deival909によって開発されました。 アクターが提供した説明によると、このツールはインラインテクノロジーに基づいています。 Private Keeperは、ロシア語圏の地下で圧倒的に人気のあるアカウントチェックソフトウェアです。

• 価格:49ロシアルーブルから(約0.80ドル)
• 同時セッション
• プライベートまたは公開されているプロキシサービスへの自動接続を支援するユーティリティソフトウェア
• 公式オンラインストア: www.deival909[.]る
• 最新バージョン: 7.9.3.34

Private Keeper コントロールパネルインターフェース。

スニパー

SNIPRは販売され、複数のアンダーグラウンドフォーラムで公開されました。 脅威アクターのPRAGMAは、マルウェアの開発者です。 SNIPRは、C言語で記述された構成可能なアカウントチェックソフトウェアであり、オンラインクレデンシャルスタッフィングとオフラインのブルートフォース辞書攻撃の両方をサポートします。 このツールは複数の脅威アクターによって宣伝されていましたが、このアカウントチェッカーには、フォーラムとマーケットプレイス www.snipr[.]ggです。 このWebサイトでは、サードパーティの開発者がカスタムメイドの構成ファイルを共有できます。

• 設定ファイル: 100 以上が公式パッケージに含まれています
• 同時攻撃:最大4つのターゲット
• 価格:$ 20

デフォルトでは、100 を超える構成ファイルが SNIPR アカウントチェッカーに含まれています。

セントリーMBA

Sentry MBA, with over 1,000 configuration files available, is one of the most prominent and readily available examples of account-checking software on the dark web. Several criminal forums maintain ongoing discussion threads dedicated to Sentry MBA. As of December 2018, the registration at https://sentry[.]mba, the official Sentry MBA marketplace and discussion board, is closed and available by invitation only. Insikt Group identified that the tool has been actively advertised on the dark web since late 2014. However, the official Twitter account was launched in July 2013. The tool was allegedly developed by an actor using the alias “Sentinel” and later modified by another actor, “Astaris.” Sentry MBA uses OCR (optical character recognition) functionality to bypass captcha. However, Sentry MBA doesn’t support Javascript anti-bot challenges. Sentry MBA can be configured to recognize specific keywords associated with a website’s responses to successful and unsuccessful login attempts.

• 使用可能な構成:1000以上
• 公式ウェブサイト: https://sentry[.]MBA取得
• 価格:設定ファイルあたり5ドルから20ドルの間
• HTTP/HTTPS対応
• SOCKS4およびSOCKS5をサポート

Sentry MBAコントロールパネル。

ウォクシー

一般的なアカウントチェックソフトウェアとは異なり、WOXYメールチェッカーを使用すると、犯罪者はメールアカウントの有効性を確認し、メールコンテンツをスキャンして貴重な情報(ギフトカードコードやストリーミングサービス、旅行Webサイト、金融機関のオンラインサブスクリプションなど)を探し、ログインパスワードを自動的にリセットして有効なアカウントを乗っ取ることができます。 実施された分析によると、WOXYは、現在廃止されているウェブサイト www.keepit[.]オンライン。 WOXYチェッカーの元の価格は40ドルでした。しかし、2018年9月、俳優のクランクとユキは、クラックされたバージョンのWOXYをダークウェブで共有し、現在では無料で簡単に入手できるようになりました。

WOXYメールチェッカーV3.4情報。

緩和

1. 犯罪者は、攻撃をさらに難読化するために公開されている無料のプロキシを使用する以外に、有料のプロキシサービスを使用することがよくあります。 しかし、私たちの分析によると、このようなサービスは、ジオスプーフィングの手法を使用して、幅広いIPプールを作成することが多いことがわかりました。 このようなドメインは同じ IP アドレスを持ちますが、異なるサブネットを使用します。 このような IP からの Web トラフィック アクティビティを監視すると、追加の軽減機能が提供されます。
2. 多要素認証の導入は、歴史的に高レベルのクレデンシャルスタッフィング攻撃を経験した多くの組織にとって、非常に効果的な緩和策であることが証明されています。
3. 犯罪者のアンダーグラウンドコミュニティを監視して、組織を標的とした新しい構成ファイルが利用可能かどうかを監視し、そのようなファイルを取得して、追加の攻撃指標がないか徹底的に分析します。
4. エンドユーザーは、パスワードマネージャーを使用し、オンラインアカウントごとに一意の強力なパスワードを設定することで、クレデンシャルスタッフィング攻撃の被害に遭うリスクを軽減できます。