记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

暗网系列之:东欧地下网络黑市内部“勒索禁令”的困境

2017-09-22 05:20

深暗网(Deep & Dark Web,DDW)俨然成为了非法交易市场、黑市论坛以及网络犯罪通信联络的温室,这已经不是什么秘密了。然而,不太明显的是这些犯罪分子个人画像的细微差别、网络犯罪社区默守的不言而喻的行为准则(潜规则),以及某些类型的攻击可能导致的“伦理”困境。

Flashpoint的研究员们从2014年初开始,持续监控了东欧地区的DDW社区,发现了犯罪分子们向勒索转变的前兆。

这篇文章,就让我们来讨论一下“勒索”的问题。

勒索曾在犯罪链底端

在2016之前,俄罗斯地下论坛的管理人员认为不应该使用勒索软件,主要原因有两个:

  • 这样做浪费了僵尸网络的受感染机器和漏洞利用工具包

  • 这种方式技术含量太低,是一种低级的手法(犯罪分子之间的鄙视链)

地下管理者坚信勒索软件吸引了太多的关注力,这可能会妨碍其他类型的网络犯罪,也很容易使俄罗斯的用户成为受害目标,如此一来可能导致俄罗斯政府对DDW社区采取更强硬的立场。

需要强调的是,在DDW社区,地下管理员威信强大到令人难以置信的程度。无论管理者受敬仰或受辱骂,社区尊重他们的决定。那些不遵守管理员决策的人,面临被逐出社区甚至被踢出圈子的风险。

勒索的“伦理”困境

事实上,在2016年2月5日,好莱坞长老会医疗中心的勒索事件发生之后,出现了一个道德困境。这家小医院被要求支付40比特币(当时大约相当于17000美元),否则面临救生设备被关闭的风险。虽然医疗机构在此之前也遭遇过各种各样的网络攻击,但之前的那些攻击从没有威胁到人类的生命。好莱坞长老会医疗中心的管理层声称,尽管医院的基础设施从来没有真正处于危险之中,但他们选择了规避风险并支付赎金。

在东欧的网络罪犯之间有个心照不宣的潜规则:严格禁止针对独立国家联合体(CIS)的公民发起任何恶意活动,高度鼓励针对西方人(尤其是美国人)的网络攻击。尽管如此,好莱坞长老会遭到攻击的消息却收到了东欧网络犯罪分子的冷遇,他们中间的许多人认为这次事件是鲁莽的、不可接受的。尽管地下社区中有一些人支持这次袭击,但大多数人谴责不明身份的袭击者。这次事件在地下社区创造了一个道德的鸿沟。

俄罗斯一家顶级网络犯罪论坛上的一个享有很高声誉的成员表达了自己对勒索的无奈,他写到:“打心底里,我衷心祝愿所有勒索软件经销商的母亲在住院时,用于抢救的医疗机器设备受到勒索软件的感染…”

对此,一个有名的勒索软件经营者反驳说:“[攻击者]得分,一切都做得很好。”他提出,我们的目标是保证可以顺利的让目标支付赎金,而不是遵守管理员强加的道德准则,因为在一天结束时,网络犯罪分子总是要关心一下赚钱的问题。

接下来的几个月中,勒索事件的增长了达到了6000%,这真是令人震惊!而受影响的企业中,有70%选择支付赎金,这使得勒索成了东欧地下犯罪的盈利冠军,2016年也被称为“勒索软件之年”。

WannaCry”事件引发的转变

2017年5月12日爆发了全球性的 WannaCry (中文名是“想哭”,也被称为“wanacry”、“w-cry”和“wcry”)蠕虫攻击事件,这次勒索对隶属于英国国民健康服务(NHS)的医疗机构造成了很大的影响,也引发了罪犯分子对袭击的伦理争论。因此,俄罗斯地下犯罪社区重新开始辩论勒索的话题。此前,网络犯罪分子针对勒索的不同看法就表现了这一伦理困境,因为它阻碍了医院的正常医疗程序。然而,2017年5月之后,观察地下社区对勒索的讨论可以看出,在东欧的地下社区,许多犯罪分子已经不再那么关注之前的伦理之争,现在他们认为禁止勒索主要是一个商业问题。

一个威胁演员建议禁止使用勒索软件,并列举了以下原因:

  • 它吸引了人们对恶意软件的关注,并促使公司采取措施提高他们的安全性。

  • 它提高了人们对信息安全话题的关注和网络安全意识。

  • 它杀死基于装载器、JS、doc宏(有效载荷)等在内的恶意软件工具,因为这些工具在受勒索软件感染的主机上被阻塞了。

  • 这项业务不需要智力和敏捷性,更多的是靠蛮力和运气。

“社区如果允许勒索软件运营商的行为,我们就是在自掘坟墓。当然,单纯的在社区进行禁止并不能阻止这种类型的业务,但至少我们可以利用社区的反对使其更难进入。

这个帖子产生了多种复杂的、独特的回应,其中近一半(48.5%)的成员表示支持这项禁令。

支持禁令的成员重申了俄罗斯地下管理员在2016年对勒索问题的担忧:勒索吸引了太多的关注,可能会妨碍其他类型的网络犯罪;太容易转向使俄罗斯用户成为受害目标,并可能促使政府对地下社区采取更严厉的政策。

然而, 也有一些社区成员认为,使用勒索软件是个人的决定,只要俄罗斯人在袭击中是受保护的:“只有一条规则,不要针对俄罗斯。其余的所有情况,都取决于个人的变态程度。有些人选择勒走奶奶的棺材本(最后的10K),有些人选择加密公司的文件并所要2K的赎金;有些人通过强力破解进入了WordPress的控制面板,上传Shell然后发送垃圾邮件或上传自己的恶意软件;有些人在受害主机上植入僵尸程序。每个人都有自己的选择去做自己的事情。”

这一例子充分说明了网络犯罪的伦理是如何不断发展的,而且往往是以意料之外的方式发展的。地下社区的文化、管理者的权力和伦理困境,以及和面临其他犯罪的分歧,这些都无法单纯通过入侵的技术指标(IOCs)来确定。

防御者在考虑如何减轻组织的风险的时候,如果能积极倾听并利用谍报、语言、方言和文化领悟力,无疑会为决策者提供一个最佳的视角。同样重要的是,要把这些威胁行为者视为某种独特类型的个人,而不仅仅将他们看作阴暗的恶棍。毕竟,所有这些问题源于威胁行为者,由威胁行为者发展,最终也可以由威胁行为者终止。

眼下,我们知道,勒索不再是禁地,而且网络犯罪分子对目标的选择性较差。

网络犯罪生态系统历来都是由网络黑市数据的价值驱动的。最近发生的成功攻击案例已经表明:网络罪犯的业务模式正在转变,当下网络犯罪社区使用另一种方式评估数据的价值,即通过评估它能给主人带来的价值来认定数据的价值。

企业的应对措施

为了减轻DDW社区上的威胁行为者引发的风险时,组织必须首先认识到,这些威胁行为者都是独特的个人,而不是无名无姓的、阴暗的小人。防御者应不断建立和(或)进一步研究与威胁行为者相关的概况,例如那些曾经发起过攻击的、有针对性的和/或被视为对组织有威胁的人。关于威胁行为者的画像文件,不应该只是简单的IOCs;同时应该提供对威胁行为者个人形象的洞察:例如他们的偏好是什么?他们表现出什么样的行为特征?

监测深暗网(DDW)中的活动,并严密监视组织环境内观察到的攻击者的行为,将两者结合起来,会对那些对组织有威胁的行为者产生更深刻的认识。这样做大大提高了态势感知能力,为制定有效的防御战略提供了必要的视角。

操作上,应贯彻执行收集和存储这些信息的过程,以提高可见性,并限制重复的、低价值的任务,释放分析师宝贵的时间使他们去处理更重要的分析工作。具体的建议包括:

  • 确保事件响应过程中收集了威胁情报所需的详细信息;

  • 确保有一个机制用于存储事件相应收集的所有细节以及来自环境的其他观测到的信息,以便他们能把被分析人员适当地处理和搜索;

  • 从一个专业的、可信的数据和分析供应商处收集DDW的情报信息,供内部分析师使用;

  • 尽可能地通过自动化的手段提供所需的上下文(WHOIS数据、被动DNS、与其他的观测数据和历史数据的关联等);

  • 确保分析师能够加入自己的分析和注释,不仅仅提供独立的IOCs,还包括提供用于生成和存储完整报告(包括IOCs的关联信息及相关的分析)的能力。

结论

对深暗网(DDW)犯罪论坛的可视化能力,对防御者而言是一笔巨大的资产,防御者借此可以理解网络罪犯分子的思想道德观念和心态的细微差别。将这些信息与组织内部的威胁情报收集相耦合,帮助组织的安全团队从一个更深层的视角出发,创建一个“舵”来指导有效的缓解策略以应对当前的威胁。

对于组织而言,在日常环境中观察到的各种攻击的起源在很大程度上是处于黑暗状态的,因此,在这方面进行相应的投资,为组织创建一个深层的可视化的威胁感知的意义是重大的。

随着网络罪犯的心态和能力的改变,防御者应该了解如何调整防御姿态。

知识来源: www.mottoin.com/105995.html

阅读:107399 | 评论:0 | 标签:安全报告 企业安全 俄罗斯网络黑市 勒索 暗网

想收藏或者和大家分享这篇好文章→复制链接地址

“暗网系列之:东欧地下网络黑市内部“勒索禁令”的困境”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词