臭名昭著的Fxmsp如何一步步成為“暗網隱形的神”
在最近IBM發布的對Fxmsp的綜合報告里,將這個男人稱為“暗網隱形的神”。
- 在暗網活躍3年以上
- 襲擊44個國家
- 入侵135家公司,8.9%為國有企業
- 僅基于公開拍賣預估獲利1500000美金
探究Fxmsp如何從新手駭客成為講俄語的地下組織的重量級人物,對于安全研究人員了解網絡犯罪行業的發展、暗網的變化都有一定意義。
初入地下論壇到如魚得水
2016年9月,Fxmsp在網絡犯罪領域邁出了第一步。
當時,他在一個地下論壇fuckav [.] ru上完成了注冊。但這時候的他對于”入侵訪問了某一公司后如何將這一訪問權變現“、”如何保證對于某一公司的長久入侵訪問能力“還一無所知。因此,他在地下論壇四處尋求”同伙“,希望找到自我傳播的持久性加密采礦惡意軟件和其他特洛伊木馬程序,以此來感染公司網絡。在這一階段,Fxmsp給安全研究人員留下了很多把柄。
一般來說,地下論壇上經驗豐富的駭客從不會發布自己的聯系方式,但是當時的Fxmsp則大意地在論壇留下了自己的聯系信息,其中還包括了Jabber帳戶。
2017年初,Fxmsp在另外幾個講俄語的論壇上(包括臭名昭著的exploit [.])創建了帳戶,他調整了活動重點并開始出售對受入侵的公司網絡的訪問權限,這些網絡在后來幾年逐漸成為他的主要業務。
2017年10月1日,Fxmsp發布了他的第一則廣告,公開宣傳出售對公司網絡的訪問權限,而金融業的第一位受害者是尼日利亞的一家商業銀行。后來,他還宣布出售對一家連鎖豪華酒店、一家擁有200億美元資本的非洲銀行的網絡訪問權。
在地下論壇里,Fxmsp逐漸如魚得水,幾次的成功讓他變得自大。很快,他甚至和其他駭客討論起如何入侵IBM和微軟,并且試圖在俄羅斯出售訪問權限,比如在2017年10月,他宣傳要出售俄羅斯2個城市的ATM和海關辦公室的網站訪問權限。但是,在講俄語的地下論壇有一個不成文的規矩:not hacking within Russia and CIS countries。于是,Fxmsp的行為收到了論壇的禁令。
駭客+銷售經理,2人團的成立
2018年1月17日,Fxmsp有了整整18位買家。
因為網絡犯罪業務發展得如此之好,以至于他還雇用了昵稱Lampeduza的用戶(又名Antony Moricone、BigPetya、Fivelife、Nikolay、tor )擔任他的銷售經理。
2018年初,銷售經理Lampeduza加大推廣他們的”服務“,甚至在一個論壇帖子中寫道:“……您將可以訪問公司的整個網絡……您將成為網絡中的隱形的神……”
在兩人合作期間,宣傳了對62家公司的訪問出售權,累計總價格達到1100800美元。
2018年10月下旬,這個2人團體受到了打擊,因為他們試圖將對同一網絡的訪問權出售給幾個不同的買家,名聲受損……此后,開始轉向專注于“私人銷售”,即僅與有限的客戶群合作。直到2019年3月中旬,Lampeduza在論壇上復出,恢復活動。
一戰成名到退隱
Fxmsp的公開活動在2019年4月達到高潮。據悉,他設法入侵了三個防病毒軟件供應商的網絡,這一事件還登上了頭條新聞。
由于Fxmsp的”一戰成名“,Lampeduza宣告”分手“,否認自己也參與了這一次的黑客活動,并且再次從論壇中消失了一段時間,而2019年12月17日,Lampeduza表示Fxmsp已停止其活動。
作為講俄語的地下論壇上的重量級人物,Fxmsp公開出售了對于135家公司的訪問權,獲得了150萬美金的利潤。他的成功甚至刺激了暗網犯罪市場的發展,引發了其他駭客的效仿。
而Fxmsp活動的3年,犯罪服務也在不斷發生變化:
- 2019年下半年與2017年上半年相比,出售受害企業的網絡訪問權的買家數量增加了92%
- 在Fxmsp加入之前,買家只提供RDP訪問單獨的服務器的權限并且不考慮持久性問題,而后來,Fxmsp將犯罪服務提升到了一個新的水平,對于受害企業來說威脅也大大提升。
防范建議
雖然Fxmsp確實結束了所有公開業務,但他對企業的威脅仍然是存在的。有鑒于此,向公眾公開有關Fxmsp TTP的資料并提供建議,對于公司防范Fxmsp和類似網絡犯罪分子進行的攻擊幫助具備一定的幫助。
在大多數情況下,Fxmsp使用一種非常簡單而有效的方法:掃描某些開放端口的IP地址范圍,以識別開放的RDP端口,尤其是3389。然后,對受害服務器進行暴力攻擊,以驗證RDP密碼。在獲得對目標設備的訪問權限之后,通常會禁用現有的防病毒軟件和防火墻,然后創建其他帳戶。接下來,將服務器上的Meterpreter有效負載用作后門,獲得訪問權限后,Fxmsp收集所有帳戶的轉儲并將其解密。最后,通過安裝后門感染備份。即使受害者注意到系統中有可疑活動,他們也很可能會更改密碼并回滾到已經受到威脅的備份。這種方法使他可以保持持久性,并且長時間不被注意。
建議:
- 將默認RDP端口3389更改為任何其他端口;
- 限制每個用戶失敗的登錄嘗試次數,啟用帳戶鎖定策略;
- 不斷監視暗網中與公司相關的數據。通過威脅情報解決方案快速識別被盜的記錄并溯源追蹤,通過專用的威脅檢測系統發現網絡內的流量異常。
