Insikt Groupは、Recorded Future(R)プラットフォームを使用して、不正アクセスの収益化メカニズムに関するより深い洞察を提供し、セキュリティインテリジェンスを使用して不正アクセスに対抗するための広範なリスク軽減戦略を示しました。 このレポートは、不正アクセスとそれに対応するリスク軽減の方法論に関心のある企業にとって興味深いものです。

Executive Summary

Historically, pay-per-install (PPI) services were the primary monetization route in the underground economy (UE) for commodity botnet operators. While botnets continue to feed PPI services, Recorded Future’s data reveals that offerings of unauthorized access are increasing, driven by larger monetization opportunities via direct sales or auctions in underground forums.

Insikt Groupは、Recorded Futureの分析に基づき、UEにおける直接的な不正アクセスの需要は増加し続け、日和見攻撃や標的型攻撃の拡大につながると中程度の確信度で評価しています。 Insikt Groupは、UE内のフォーラムでの販売やオークションを観察し、脅威アクターと連絡を取り合った結果、初期の不正アクセス(アンダーグラウンドフォーラムでの販売)は、主にフィッシング、認証情報の再利用、Webシェルの配置、または設定ミスや脆弱なソフトウェアの悪用によって行われると評価しています。

主な判断

• ペイ・パー・インストール(PPI)サービスの広告と不正アクセスの直接販売は、2017年に3倍以上に増加し、時間の経過とともに増加し続けています。
• 同様に、PPIサービスや不正アクセスを宣伝するユニークなモニカの数は、2017年には3倍以上に増加し、前年比で増加しています。
• 不正アクセスの販売が年々増加していることから判断すると、犯罪者は、個々の販売またはオークションを通じて他の犯罪者に販売することで利益を最大化すると結論付けています。
• 公共機関や企業の組織は、特定の不正なネットワークアクセスの需要を満たそうとする攻撃者が増えるため、標的型攻撃や日和見攻撃が増加する可能性があります。
• 情報セキュリティの専門家は、フィッシング、認証情報の再利用、Webシェルの配置、既知のソフトウェアの脆弱性の悪用という、最初の不正アクセスを取得するための4つの主要なメカニズムの防止と検出に焦点を当てる必要があります。

背景

The underground economy (UE) is the totality of online actors and technology that facilitate the buying, selling, and trading of criminal goods and services. The UE has continually innovated and matured to maximize profits and avoid prosecution. Historically, much of the UE was focused on obtaining and monetizing stolen payment card data, but in 2007, the advent of multi-featured HTTP-based botnets like Zeus created a popular cottage industry known as pay-per-install (PPI).

The pay-per-install (PPI) ecosystem.
PPI relies on automated platforms where buyers pay for unauthorized access to victim computers to install malware payloads and/or other potentially unwanted applications (PUA). The price charged for each compromised computer is typically dependent on buyer demand for the country where the victim computers are located. PPI platforms (also known as affiliate networks) are natural third-party conduits for large infection (botnet or exploit kit) monetization. The PPI model is straightforward, but using a PPI platform introduces risk for botnet operators due to purposefully inaccurate installation statistics that increase profits for the PPI platform owner.
Similarly, PPI platforms are convenient mechanisms for buyers to quickly access large amounts of compromised computers and install further payloads, such as banking trojans, ransomware, adware, or spyware. The PPI model treats all infections/compromises as a generic commodity, regardless of victim organization — government, corporate, or residential. Traditionally, the only price differentiator is geography.

Advertisements of pay-per-install (PPI) services on the criminal underground. (Source: Recorded Future)
Conversely, UE actors are recognizing that unauthorized access to specific types of systems may translate to increased monetization potential. Actors are directly selling (or auctioning) unauthorized access through UE forums, which may involve more time and patience, but is more profitable than commodity PPI services.
The differences in monetization potential are stark. An actor capable of installing malware on 1,000 devices can expect a PPI service to pay between $0.05 and $0.20 per infection (depending on the geographic locations of the infected hosts). Even at the top end of the range, daily PPI revenue is $200 ($6,000 per month). This model treats any infection as a generic commodity, regardless of where the infection occurs.
Conversely, directly selling or auctioning access to one system or network (often a name brand enterprise or government agency) maximizes revenue. For example, Fxmsp Group is a prolific seller of unauthorized access, often securing $20,000 for access to one organization.

特定のネットワークアクセスをより高い価格帯で販売する。 (出典:Recorded Future)

脅威分析

PPIと不正アクセス広告の増加

Recorded Future’s historical UE data demonstrates a year-over-year increase, beginning in 2016, in both PPI and unauthorized access advertising. The charts below illustrate the increasing advertising trends, which we expect to continue through 2019 (this year’s data was measured in August). The metrics are consistent when measured by advertisement content, and also when measured by unique author moniker.
To collect data on underground forum references and authors, Insikt Group constructed queries for mentions of “PPI” and “unauthorized access” on the Recorded Future platform. The queries were conducted based on common entities surrounding sales of either PPI or unauthorized access into systems, as well as text matches for various sales terms in multiple languages. False positives were culled from the data set by altering existing queries. For example, sales language for “access to” card verification values were a common false positive in multiple queries. Thus, queries were altered to deliberately exclude those references.

不正アクセス クエリの例。 (出典:Recorded Future)

PPI English query example. (Source: Recorded Future)
In addition, to count the number of actors mentioning either PPI or unauthorized access, while limiting as many false positives as possible, Insikt Group conducted automated aggregation of author monikers across multiple forums. Similar author monikers containing more than five letters (that were not common dictionary words) and posting on multiple forums only about PPI or unauthorized access were aggregated. While some of these monikers aggregated may not truly be the same actor, Insikt Group has assessed with medium confidence that a majority of these monikers are true positives, based on duplicate actor monikers and content. Furthermore, because the false duplicates are no longer counted, the data set represents a potential lower bound of the true number of PPI versus unauthorized access sales posts.

Number of authors by year mentioning either unauthorized access or PPI on criminal underground forums.
Based on the data, we were able to extract the number of authors mentioning unauthorized access and PPI in underground forums from January 2014 to September 2019. Unique monikers advertising PPI and unauthorized access have largely been increasing, and the number of authors from January to September 2019 is on par with the number of authors in previous years over a similar nine-month period.

犯罪アンダーグラウンドフォーラムでの不正アクセスまたはPPIを参照している年ごとの投稿の数。

同様に、Insikt Groupは、2014年1月から2019年9月にかけて、不正アクセスとPPIに関する投稿をアンダーグラウンドフォーラムに集めました。 また、PPI広告や不正アクセス広告の数が着実に増加していることもデータから明らかです。

重要なグローバルアクセス

Insikt Groupは、フォーラムで宣伝された不正アクセスのRecorded Futureコレクションに基づいて、ターゲティングが主に公共部門や民間部門の企業に焦点を当てており、世界中の組織に影響を与えていると中程度の信頼性で評価しています。 2016年12月にロシア語を話す犯罪者が 米国選挙支援委員会(EAC) に不正アクセスを売ったというInsiktの前回の報道以来、Insikt Groupは犯罪者の地下での不正アクセスの販売を定期的に監視してきました。 以下は、広告されているアクセスのレベルと組織に悪影響を与える可能性に基づいて、注目すべき販売またはオークションの選択です。 ほとんどのアクターが宣伝しているアクセスは、通常、曖昧で、被害者組織の特定の名前は含まれていません。

以下のセールスポストの分析、脅威アクターの関与、および過去4年間にInsikt Groupが実施した不正アクセスオークションの分析により、Insikt Groupは、次の4つの攻撃ベクトルが、重要度の高い順不同で、最初の不正アクセスを達成するために使用された主要な方法であることを中程度の信頼性で評価できます。

• フィッシング
• 資格情報の再利用
• ウェブシェルの配置
• 既知のソフトウェア脆弱性の悪用

不正アクセスの選定、オークション、販売 (2016–2019)

プロファイリング 2 不正アクセス販売者: VincentVega と fxmsp

次の 2 つのケーススタディは、ターゲット型アクセスと日和見型アクセスの両方の収益化の可能性を示しています。

ヴィンセントベガ

VincentVegaは、ロシア語で有名な犯罪アンダーグラウンドフォーラムのメンバーであり、日和見的なアクセスを利用するアクターの典型的な例です。 この攻撃者は、インターネットに接続されたシステムに対して標的を絞らない方法でRDPをブルートフォース攻撃することで、中国最大の投資銀行およびセキュリティ企業の1つ(2015年の収益は376億人民元)にアクセスしました。

VincentVegaは、中国企業の内部ネットワークへのアクセスを広告で公開しています。 (出典:Recorded Future)

2019年8月、VincentVegaは、5ビットコインで中国の大企業のローカルネットワークへの外部リモートアクセスを宣伝しました。 この投稿では、このアクターは、RDPアクセス権を持つIPをブルートフォース攻撃してネットワークにアクセスしたと主張しています。 彼らは、ローカルネットワークには20,000の動作するローカルIPが含まれており、そのうち約865がRDPアクセス権を持ち、被害者ホストのうち500が管理者アクセス権も持っていると主張しました。 彼らの投稿では、アクセスが価値があることは理解しつつも、それを収益化する方法を知らなかったため、アクセスを販売していると主張しました。

これらの未知数が認められているため、Insikt Groupは、VincentVegaがパスワードで保護されていないRDPサービスを持つIPを標的にしない試みで、同社に偶然出くわしたと高い自信を持って評価しています。 しかし、企業のネットワーク自体に入ると、攻撃者は、ネットワークの規模と機能に基づいて、ネットワーク自体へのアクセスを収益化および販売する方法が複数あることに気付きました。

fxmspグループ

一方、Fxmsp Groupは、組織が大規模な不正侵入を行い、多額の利益を上げる方法を明確に示しています。 このグループは、ロシア語と英語を話すサイバー犯罪集団で、金融、電子商取引、産業組織、政府機関など、世界中のさまざまな被害者を標的にして不正なネットワークアクセスを販売しています。 Fxmsp Groupは、他のサイバー犯罪者に転売する目的で、ネットワークを大量に侵害することがよくあります。 2017年以降、Fxmsp Groupは世界中の企業や政府のネットワークを侵害し、その後、数百ドルから10万ドル以上の金額で不正アクセスを販売してきました。

Fxmsp GroupのNikolayによる投稿は、さまざまな組織に属するネットワークへのアクセスを販売しています。

Fxmsp Groupは、チームメンバー間の忍耐力と調整力を発揮します。 「Fxmsp」というあだ名を使用している俳優はネットワークを侵害した罪で起訴され、「Lampeduza」、「Antony Moricone」、「Nikolay」、「BigPetya」などのあだ名を使用している俳優は、不正アクセスの収益化を最大化する責任があります。

私たちは、Fxmsp Groupが、より多くのバイヤーのプールに対して販売スレッドまたはオークションを準公開する前に、プライベートな連絡先のネットワークを通じて不正アクセスを収益化しようとしていると中程度の信頼性で評価しています。 これは、Fxmsp Groupが開始するフォーラムオークションは、Ffxmsp Groupがいつでも収益化しようとしている利用可能な不正アクセスのほんの一部にすぎないことを示唆しています。

今後の展望

私たちは、不正アクセスや被害者価値と認識される直接販売の量は、当面の間、増加し続けると確信しています。 マルウェアに特化したPPIアフィリエイトサービスは、UE内で犯罪的な価値を提供し続けますが、マルウェア感染は、日和見的で標的を絞った不正アクセスよりもPPIシステムでの収益性が低くなります。

情報セキュリティの専門家は、フィッシング、認証情報の再利用、Webシェルの配置、脆弱性の悪用という4つの主要な初期不正アクセスの確立方法に関する内部のプロアクティブな検出の取り組みと併せて、予防的なベストプラクティスの実装とレビューに焦点を当てる必要があります。

リスクの軽減

Security intelligence is necessary to quickly detect initial unauthorized access via threat hunting methodologies. These methodologies should grow over time as operational practitioners increase their knowledge of adversary tactics and the internal network environment. A new methodology should lead to an ongoing hunting implementation via an automation/orchestration (SOAR) workflow. This section will provide mitigation recommendations for the four primary initial access methodologies found by Insikt Group.

フィッシング

For example, reviewing email content and attachments quarantined by an email security gateway provides basic awareness of adversary tactics that have previously failed, while also presenting valuable examples where derivative technique modifications may succeed in the future. An email security appliance may be configured to block specific inbound file attachments¹ (for example, “hta” — HTML executable), but it fails to block malicious email containing third-party website links.
Thus, the focus of a phishing hunting methodology would in this case entail identifying new domains likely to be used for phishing (email body content) based on the domain’s lexical proximity to prolific cloud provider domains (such as DocuSign, Google mail services, Microsoft Office365, Amazon storage, etc). Security intelligence provides new domain candidates which should then be used for improving email security gateway content inspection and detection in DNS telemetry or web proxy appliance resolution.

新しいフィッシング ドメインを特定するための記録された Future クエリ。

資格情報の再利用

Vigilance in asset management and removing internet-facing systems running applications without multi-factor authentication is good hygiene for preventing credential reuse, and in the case of RDP, brute-force attacks. Security intelligence reduces the risk of adversary credential reuse by surfacing compromised credentials primarily from database breaches. The corresponding SOAR workflow should search Active Directory for users matching newly discovered credential sets. Whenever a valid user is found in a credential set, a password reset is initiated.

Web シェルの配置

Adversaries typically place web shells on web servers via a software vulnerability or misconfiguration. A web shell will often evade a web application firewall (WAF) and enable long-term persistence on one or more web servers. Adversaries use web shells to exploit information resources or gain unauthorized access to additional systems. Security intelligence is an important component of web shell hunting, which requires continuous identification of new web shells and associated feature assessments. For example, older web shells use basic, form, or digest HTTP authentication, which is straightforward to identify in network telemetry (Zeek is a valuable open source tool for network protocol parsing and analysis).
Additionally, YARA rules are another open source resource to identify specific web shells based on file conditions (typically strings).

新しいWebシェルの表面化。 (出典:Recorded Future)

既知のソフトウェア脆弱性の悪用

エンタープライズ環境での継続的なパッチ適用の優先順位付けと実行は困難ですが、セキュリティインテリジェンスは、 NVD以前の新しい脆弱性 を特定し、特に「野放し」の証拠で既存の脆弱性を強化するのに役立ちます。

Recorded Future Intelligence Cards™によって提供される追加の脆弱性コンテキスト。 (出典:Recorded Future)

脚注

¹https://www.cyber.gov.au/publications/malicious-email-mitigation-strategies