Bleeping Computer 網站披露，某黑客聲稱入侵了一家大型拍賣行的內部網絡系統(tǒng)，并向愿意支付 12 萬美元的人提供訪問權限。

據悉，安全研究人員對 72 個帖子進行抽樣分析時，在一個以提供初始訪問代理（IAB）市場而聞名的黑客論壇上發(fā)現(xiàn)了這則“廣告”。

“昂貴”的網絡訪問權限

威脅情報公司 Flare 的研究人員在俄語黑客論壇 Exploit 上分析 IAB 三個月（5 月 1 日- 7 月 27 日）內的報價，以便更好了解黑客組織的目標、要價以及活躍度，在此期間， 初始訪問經紀人 IABs（黑客中介）為國防、電信、醫(yī)療保健和金融服務等18 個行業(yè)的 100 多家公司做了”廣告“。

Flare 營銷副總裁 Eric Clay 在與 BleepingComputer 分享的一份報告中指出針對美國、澳大利亞和英國公司的攻擊最常見，考慮到這些國家的生產總值（GDP）很高，這并不奇怪，Clay 還在報告中指出針對金融和零售業(yè)實體組織的案例最多，其次是建筑業(yè)和制造業(yè)。

根據國家/地區(qū)以及公司的差異，初始訪問代理權限起價為 150 美元，其中大部分是通過 VPN 或 RDP 進行初始訪問，大約三分之一價格在 1000 美元以下，但最近黑客論壇上在出售價值 12萬美元（當時為BTC4），用于進入價值數(shù)十億美元拍賣行內部網絡的訪問權限，售賣人員沒有提供太多細節(jié)，但表示其有權訪問多個高端拍賣（即管理面板）的后端。

Flare 指出雖然大多數(shù)訪問權限都是中低價值的，但偶爾也會有極為獨特或高價值的訪問權限被拍賣，這樣就可能會導致定價與我們的平均定價相比出現(xiàn)極大差異。

訪問權限和地理位置

大多數(shù)帖子都提到了受害者的地理位置，研究人員為此繪制了一張受害者地理位置分布圖，顯示美國境外 35 個據稱被黑客組織攻擊的實體。

Exploit 論壇上的 IAB 交易仍然在避免針對俄羅斯和獨立國家聯(lián)合體（CIS）國家，但令人驚訝的是，GDP 排名世界第二的中國 IAB 的數(shù)量也很少。為此，Clay 透露雖然 IAB 通常會避免將中國作為攻擊目標，但還是有一個針對中國人工智能公司的網絡訪問列表。

值得一提的是，Clay 指出某黑客中介表示可以提供美國一家廣播電臺的特權訪問權限，并稱可以利用其來 "播放廣告"。

Exploit 論壇帖子中最常見的訪問類型是通過 RDP 或 VPN，兩者合計占據了數(shù)據集中列表中 60%，其余通過云管理員、本地管理員、域用戶等與訪問帳戶相關聯(lián)的權限占據了 40%。通常情況下，對企業(yè)網絡的訪問來自信息竊取惡意軟件，但一些攻擊者明確表示可以使用惡意軟件、網絡釣魚或利用漏洞等方法。Mathieu Lavoie。

無論初始訪問代理使用哪種方法獲取網絡訪問權，實體組織至少應實施對信息竊取惡意軟件的監(jiān)控機制。此外，實體組織也應對初始訪問中介發(fā)布廣告的論壇進行監(jiān)控，即使受害者的姓名是匿名的，也能幫助企業(yè)獲得可能的入侵線索。再結合地理位置、收入、行業(yè)和訪問類型等數(shù)據，就足以對潛在違規(guī)行為展開調查，這一過程可能會發(fā)現(xiàn)需要更強安全性的領域，或識別可能構成風險的設備、服務和賬戶。

文章來源：https://www.bleepingcomputer.com/news/security/hackers-ask-120-000-for-access-to-multi-billion-auction-house/#google_vignette