大家好,我是 零日情报局。
本文首发于公众号 零日情报局,微信ID:lingriqingbaoju。
年关虽近,但并不能阻挡黑客捞金。
最近,黑市暗网出现大量专业入侵者,在线兜售包括托管服务提供商(MSP)在内的企业级访问权限,为低级网络犯罪分子大开方便之门。
千元美金,就能任意挑选各种级别的政企级内网访问权限,无疑是给一些网络犯罪分子,带来了一个氪金开挂的野路子。
千金买政企内网访问权
零日从***息了解到,兜售各种访问权限的专业入侵者们,就若如同黑客贩子。他们手里不仅有单一的特权账户,还有完整且持久的根shell、远程控制台和shell,至于不法分子获得根shell有多危险,就不用我多说了。
而在售价上,黑客贩子们自有一套定价体系。主要是根据渗透深度,也就是访问权限的级别定价。不过整体来看,访问权限价格多在1000-4500美金间浮动。
(黑客出售访问权限信息-1)
普通人可能觉得并不便宜,但对网络犯罪分子来说,只要能成功入侵目标网络系统,这个价位可是十分划算的事情。
为了让低级网络犯罪分子,更容易理解代码内容,黑客贩子们非常详细的写明每种权限的访问级别。甚至还贴心地根据访问权限级别、渗透深度等具体情况,提供多种价位的细分服务,堪称五星良心卖家。
(黑客出售访问权限信息-2)
目前在售的访问权限,主要有下面几大类:
· 高管级别凭证集;
· 管理各种内容管理门户(律师事务所,学校,医院);
· 邮件服务器访问(直接);
· 对“所有内容”的完全“ root”访问权限。
当然,如果以上权限不能满足购买者需求,则可以私聊黑客贩子,要求提供定制服务。只要价到位,黑客贩子就能给到你想要的。
在售访问权限中,已证实的就包括了公共部门和私营部门中各种实体访问权。比如电子制造商巨头企业、西班牙MSP公司、甚至是美国的公用事业公司,都包括在内。
还有一个坏消息是,这些访问权限已从暗网黑市卖到了一些公开论坛社区。
脚踩权限瞄准企业网络
访问权限能干嘛?怎么就从暗网黑市卖到公开论坛社区?
拿最具吸引力的托管服务提供商(MSP)权限来说,其承载着大批的企业用户,而一旦拿到托管服务提供商的访问权限,就意味着服务企业的托管服务提供商,将可能成为黑客入侵其客户企业网络的攻击发射台。
去年11月,西班牙最大托管服务提供商之一,NTT旗下子公司Everis,被黑客盯上遭遇勒索病毒攻击。该公司管理的各类 IT 基础设施企业,差点中招。
(西班牙公司遭勒索病毒攻击,危及企业客户)
最终该公司指示员工关停计算机,并切断其办公地点与客户企业之间的网络连接,才让更多用户逃过一劫。
可以说,踩着MSP访问权限这块垫脚石,黑客的毒手可能伸向更远更多的企业中去。
非法权限交易埋雷
拿到访问权限,很危险?
危不危险先放一边,当明知不坏好意的攻击者,拿到你家门钥匙时,不明且未知的威胁,才是细思极恐的。下面零日就简单从三个维度,说下访问权限带来的威胁。
任意形式任意层级的网络攻击接踵而来。从具体操作上来说,非法获得访问权限虽与漏洞利用之类的网络攻击不同,但结果却大相径庭。
因为潜入内网且拥有权限,就意味着黑客可以“名正言顺”,进行包括但不限于窃取信息、监听监控、植入病毒等任意形式危及安全的攻击行为。
(可访问20+ PoS终端权限)
扩大的安全隐患。正如上文所说,通过MSP一类访问权限,黑客可以借此潜进更宽广的领域“大杀四方”。
在售访问权限中,就有一个售价3500美元的内网访问权限,而攻击者却可以通过这一个权限,远程连接访问该公司的500,000多个客户端,完全不异于放老鼠进米缸。
无限放低攻击者准入门槛。通常情况下,进行网络攻击的前提是技术,而暗网黑市甚至是公开论坛出现的访问权限交易,则让技术小白甚至是普通人也有了网络攻击的可能。
毕竟,氪金买了访问权限,攻击者就不比再自己动手破话目标网络,就有可能投放恶意软件。
零日反思
黑客贩子非法出售访问权限,与现代的软件即服务(MaaS)或者是勒索软件即服务(RaaS)模式十分相近。非法获利的同时,将关键和敏感技术服务,无差别地出售给了中低级犯罪分子,直接扩大了非熟练网络犯罪分子对高级企业环境的威胁与影响。
对此,企业要防,也要建立一些行之有效的办法,提高网络技术类社区管理,避免访问权限一类敏感信息的大范围扩散。
零日情报局作品
微信公众号:lingriqingbaoju
如需转载,请后台留言
欢迎分享朋友圈
参考资料:
SentinelOne 《邪恶市场| 向低级犯罪分子出售违反MSP的权限》
来源:freebuf.com 2020-01-22 10:17:43 by: 0day情报局
请登录后发表评论
注册