[[420919]]

近日，網絡安全公司Kela發布了一份探索初始訪問代理(Initial access brokers，簡稱IAB)市場的研究報告，結果發現訪問被黑網絡的平均成本為5400美元。

近年來，勒索軟件即服務(RaaS)團體對初始訪問代理非常感興趣，因為通過直接雇用他們或向他們支付訪問目標系統的費用，能夠節省很多在目標網絡中獲取立足點所需的時間、精力和費用。

初始訪問代理是指通過多種方式獲取對受害者網絡初始訪問權限的個人或團體。他們最慣用的手段就是通過暴力訪問脆弱的遠程桌面協議(RDP)或遠程管理軟件。有時候，攻擊者還會利用系統中未修補的漏洞。不過，無論采用哪種方法，一旦成功獲得訪問權限，這些代理人就可以將其轉售給其他人，有時還不止轉售一次。

對于網絡犯罪分子來說，購買現成的企業網絡訪問權限的優勢顯而易見：購買者無需花時間嘗試識別受害者并獲得其遠程訪問權限，而是可以直接從選項菜單中根據收入、國家和部門挑選受害者，以及挑選需要的遠程訪問類型。

正如網絡安全公司CrowdStrike所言，當犯罪惡意軟件運營商購買訪問權限時，他們節省了很多識別目標和獲取其訪問權限的時間，從而有能夠的精力和財力去更多、更快地部署攻擊活動，以實現更高的貨幣化潛力。

特別是對于使用勒索軟件的犯罪分子來說，購買訪問權限的費用可能只是獲取贖金的一小部分，但是卻幫他們省去了入侵受害者網絡所需的大量時間和精力。安全專家表示，從事大型狩獵活動————摧毀大型目標以尋求更大的贖金——的犯罪團伙會尤為依賴初始訪問代理來選擇目標和獲取權限。

近年來，隨著使用機密鎖定惡意軟件攻擊者的需求日漸增大，初始訪問代理的商業模式也不斷完善。那么，初始訪問市場的現狀究竟如何?以色列威脅情報公司Kela審查了過去一年在可公開訪問的網絡犯罪論壇上出售的1,000個訪問列表，據稱其中至少有262個被確認為“已出售”狀態。

根據這些訪問列表，Kela發現了初始訪問代理領域的10個關鍵趨勢：

1. 訪問費用經濟實惠

Kela報告稱，在2020年7月1日至2021年6月30日期間，遠程訪問網絡的平均價格為5,400 美元，而中位數價格為1,000美元。

訪問權限平均售價為5,400美元，而受害者最近支付的贖金平均為137,000 美元

而根據勒索軟件響應公司Coveware的數據顯示，今年第二季度受害者支付的平均贖金高達137,000美元。對比可見，直接購買訪問權限對于犯罪分子而言確實是經濟快捷的選擇。

2. 遠程桌面協議(RDP)和虛擬網絡憑據受沖擊嚴重

遠程桌面協議和虛擬網絡憑據是初始訪問代理提供的最常見的訪問類型。但除此之外，他們也提供其他類型的訪問——例如，通過遠程管理軟件，許多托管服務提供商會將其安裝在他們為客戶管理的端點上。

買方出售遠程監控和管理軟件的訪問權限

一些攻擊者還會提供對特定類型環境的訪問權限。例如，VMWare的ESXi服務器最近在勒索軟件攻擊者中就非常流行。

買家購買VMWare的ESXi服務器root訪問權限

事實上，REvil(又名Sodinokibi)、DarkSide以及現在的BlackMatter都構建了能夠加密鎖定運行ESXi服務器的Linux設備的惡意軟件，以便可以掌握他們的數據以索取贖金。

3. 活動目錄(Active Directory)憑據：超值之選

Kela在報告中指出，初始訪問代理提供的最有價值的產品包括域管理員權限。試想一下，一旦擁有了對Microsoft Active Directory的域管理員訪問權限，也就意味著你可以使用IT工具將加密鎖定惡意軟件分發到組織內的每個端點。一次強行加密更多系統可能會增加受害者支付贖金以換取解密工具承諾的機會。

4. 首要攻擊：美國組織

Kela發現，調查列表中的遠程訪問憑據數量最多的是美國，占據整個列表的28%，其次是法國、英國、澳大利亞、加拿大、意大利、巴西、西班牙、德國和阿拉伯聯合酋長國。

5. 重點受災行業：制造行業

調查發現，列表所涉組織中最多來自制造行業，其次是教育、IT、金融服務、政府和醫療保健。這些代理不僅會出售對大型企業的訪問權限，小公司也不例外，只是售價要明顯便宜很多，通常為100-200美元。

6. 通常專盯一位買家推銷

一些代理會列出他們出售的訪問權限的樣本，并告訴買家聯系他們以獲取更多詳細信息。

單個買家尋求大量訪問權限的兩個帖子，包括“來自一級國家/地區的70個Citrix訪問權限”(左)和Active Directory管理員級別的訪問權限(右)

這些代理通常傾向于讓一個買家購買其所有正在出售的訪問權限，如果攻擊成功，他們有時甚至會要求獲取一定比例的贖金。

7. 多種貨幣化策略

一些網絡訪問代理似乎不僅出售訪問權限，還會出售來自受害者環境的數據。例如，去年年底，一位代理就曾以4,000 美元的價格出售了巴基斯坦國際航空公司的訪問權限。而在出售該航空公司的網絡訪問權限一周后，該名代理又宣布將繼續出售航空公司網絡中的所有數據庫。在這起案件中，該代理就是利用他獲取到的航空公司網絡訪問權限來竊取公司的數據，進而采取兩種不同的方式來嘗試實現貨幣化。

如今，許多威脅情報公司開始監視地下論壇以試圖獲取有關潛在受害者的詳細信息。雖然這是一項付費服務，但通過這種監控收集到的情報可以讓受害者能夠更快地鎖定他們可能錯過的網絡入侵行為。

初始訪問代理先是宣傳一家航空公司的訪問權限，然后又出售15個據稱來自巴基斯坦國際航空公司的數據庫

出售網絡訪問權限和發生勒索軟件攻擊之間存在時間差，把握住這種時間差盡早檢測出企業網絡中的漏洞，您的安全團隊就越有可能緩解該問題并防止勒索軟件攻擊造成進一步損害。

8. 代理對白宮舉動作出回應

最近幾個月，勒索軟件已經成為政治上的“燙手山芋”。拜登政府要求俄羅斯政府嚴厲打擊從俄羅斯境內襲擊美國目標的犯罪分子，并威脅稱，如果俄羅斯當局不盡快采取行動，將直接瓦解他們。

作為回應，一些網絡犯罪論壇——包括俄語Exploit和XSS論壇——已宣布禁止勒索軟件通信，盡管安全專家表示此類禁令并不總能得到嚴格執行。同樣地，一些初始訪問代理似乎對列出某些類型的受害者(例如醫療保健實體)也變得更加謹慎。

9. 私密通信仍在繼續

Kela報告稱，雖然大型網絡犯罪論壇已經明令禁止勒索軟件宣傳，但是這種銷售很可能仍在幕后進行。例如，去年，隨著大流行的持續蔓延，一些代理“發布醫療保健部門的受害者，然后受到了其他用戶批評后刪除了報價”，但不能排除他們后來通過其他途徑出售了這些針對醫療保健行業的訪問權限的可能性。

初始訪問代理場景從來都不是靜態的。安全專家表示，新的賣家不斷出現，為更多新的受害者做宣傳。但想要了解有多少組織受到攻擊可能很困難，因為并非所有類型的訪問都會發布在網絡犯罪論壇上。而且即便他們這樣做了，代理們也經常會掩飾受害者的身份，因為，很明顯，他們不想受害者得到風聲。

雖然一些論壇確實限制了對勒索軟件的討論，但潛在的初始訪問代理買家當然不必說明他們購買此類訪問權限的目的就是為了實施勒索軟件攻擊。此外，雖然Exploit和XSS禁止管理員為DarkSide和REvil等團體持有的帳戶提供服務，但這些團體可以簡單地以其他名稱創建新帳戶，以繼續購買訪問權限或建立關系。

10. 與犯罪團體確立合作關系

許多成熟的代理似乎已經與特定的犯罪團體或勒索軟件運營的附屬機構確立了合作關系，這也使得他們不必在公共網絡犯罪論壇上宣傳要出售的“訪問權限”，而是通過私密通信就能直接實現資源共享。

與前幾個季度相比，第二季度的訪問列表數量有所下降，這可能正反映了這種轉變。除了與犯罪團伙建立合作外，許多代理還會在網絡犯罪論壇上列出部分詳細信息，并告訴潛在買家私下溝通以獲取更多詳細信息。

勒索軟件運營商為獲取“獨家業務關系”——或至少是優先購買權——尋找訪問代理，也是一種至少在去年年底開始出現的新趨勢。就在去年年底，DarkSide勒索軟件即服務團體在網絡犯罪論壇上發布消息稱，它希望找到可以讓其接觸年收入至少為4億美元的美國企業的訪問代理。

DarkSide運營商在俄語網絡犯罪論壇上發布的尋找訪問代理的帖子

安全公司Trend Micro的網絡犯罪研究主管Bob McArdle表示，許多大型勒索軟件運營商似乎已經建立了廣泛的連接列表并確立了完善的關系拓撲。雖然這些勒索軟件團體可能隨時瓦解，但沒有什么可以阻止運營商和附屬機構在他們離開或加入新團體時攜帶這些聯系，并將其繼續應用于新的團體之中。

本文翻譯自：https://www.bankinfosecurity.com/10-initial-access-broker-trends-cybercrime-service-evolves-a-17249如若轉載，請注明原文地址。