我们正处在这样一个时刻:包括勒索软件团伙在内的网络犯罪分子,已经建立起组织化的机构,进行非法的业务活动,而不是一个人单打独斗。
勒索软件团伙、敲诈勒索组织和DDoS攻击者的日益成功绝非偶然。在一个个奇幻的名字背后,是组织化的机构,由不同层次的参与者组成,他们同步工作,瓜分利益,以实现最终目标。
以下是几种典型的网络犯罪角色:
1. 入口访问经纪人(IAB)
IAB(Initial access brokers)是指将企业的网络访问权限出售给买家的人,主要通过地下数据交易市场、论坛或是即时通信工具、聊天组来完成交易。然后购买访问权限的人,得以进入受害者的网络,再安装间谍软件、窃取商业秘密,或者安装勒索软件、拖走数据等。IAB本身一般不会去做这些事情。
在以往,网络犯罪对IAB的需求并不很高,大部分是商业竞争对手雇佣从事间谍活动和盗窃的需求。但勒索软件时代导致了对IAB的需求“指数级增长”,成为网络犯罪产业链的“入口”角色。
2. 一切即服务(XaaS)
在网络犯罪的语境下,一切即服务(XaaS)通常是指勒索软件即服务(RaaS)或恶意软件即服务(MaaS),甚至是犯罪即服务(CaaS),这些平台构成了网络犯罪的新商业模式。与软件即服务(SaaS)的提供模式非常类似,这些aaS是一种专门为具体实施攻击的网络犯罪分子,提供勒索软件工具、网络钓鱼工具的平台,使用这些工具即可实施网络犯罪,而不用掌握高深的技术。当然,这是收费的。
作为这种服务提供商,无论他的客户攻击是否成功,都会获得一定的收益。不仅如此,在这种XaaS的模式下,意味着可能在法律上还是安全的。他们只负责提供工具,拿工具干什么用是客户的事情。
在勒索软件时代之前,网络罪犯一般都会是技术熟练的黑客,独自进行寻找目标、入侵网络、窃取数据、自行交易。但XaaS模式则降低了黑客攻击并获益的技术门槛,包括IAB、RaaS、MaaS等服务,网络罪犯只需精通一个领域,甚至无需精通任何领域,就能够实施网络攻击。因此,勒索软件事件才得以愈演愈烈。
3. 勒索软件附属
勒索软件附属可以被视为勒索软件组织雇来执行操作任务的综合“承包商”,从IAB购买网络的初始访问权,到获取可能有助于攻击的凭证、数据等,再到发起攻击。
在执行成功的攻击和勒索后,勒索软件附属从受害者支付的勒索金额中提取佣金。为了加快攻击速度,勒索软件附属可能会租用RaaS平台,用“租用的勒索软件”加密文件,或是使用任何现有的工具、服务和漏洞,以实现攻击并获利的目的。正是因为这些XaaS的出现,降低了攻击的技术门槛,无需自行开发工具,只需专注于攻击活动的组织运营。
4. 恶意软件开发者
恶意软件最为核心的组成是针对零日漏洞或已知漏洞的EXP(漏洞利用),可攻击存在相应漏洞的各种网络设备、应用程序,甚至是嵌入应用程序中的某个组件,如Log4j。
在早期,恶意软件和漏洞利用的开发者各种各样,从最普通的“脚本小子”到黑客高手,但随着黑色产业的形成,网络犯罪分子的分工合作,许多复杂的恶意软件开发团队已经成为“正规部队”,甚至有着软件开发生命周期和编程文档,与合法的软件开发流程一样。
去年发生的一起勒索软件团伙(Conti)的泄密事件,对其不满的合作者(勒索软件附属)泄露了该团伙的数据,包括渗透测试工具、手册、培训材料,以及提供给该附属的文件。另外一起类似的事件中,一名自称Babuk勒索软件管理员的人,则放出了该组织的Visual Studio项目文档和源代码。从这些文档和代码可以看出,Babuk的开发流程与合法软件公司无异,遵循同样的规范和结构。
另一方面,加密货币的流行,令其交易平台成为网络攻击的重灾区。精通密码学并对区块链协议有深入了解的恶意软件开发者,利用这些平台中的零日漏洞或未修补的漏洞,盗取巨大价值的加密货币。
今年2月,Wormhole价值3.26亿美元的加密货币被盗,源于GitHub平台上公开的一个未修补漏洞。去年Poly Network遭受了“史上最大的DeFi黑客攻击”,一名白帽黑客通过平台的漏洞转移了价值6.11亿美元的加密货币,但事后几乎全部退回。
5. APT组织
APT(高级持续威胁)之前大多是指有着国家资源支持的网络犯罪集团采取的攻击策略,目标是进行破坏、间谍活动,或者攫取经济利益。但现在,APT所使用的战术也被一些非国家支持的网络攻击者采用。
史上最著名的APT攻击事件是震网(Stuxnet)事件,该事件利用多个Windows零日漏洞感染计算机并进行传播,最终对核电站的离心机造成损坏。这种“极其复杂的电脑蠕虫”据传是美国和以色列情报机构合作开发的。
另一起针对工业控制系统的例子是TRITON。该恶意软件于2017年入侵了沙特的一家石化厂,并试图引发爆炸。幸运的是,TRITON代码中自身存在的一个漏洞触发了关键系统的拦截,攻击未能得逞。
APT最主流的手法是通过鱼叉式网络钓鱼进入网络,悄悄传播有效负载,拖走数据,并植入持久后门,对受害者进行秘密监视。
与之前相比,现在的APT更加隐蔽、更具战略性。如将后门植入上游软件或源代码,或入侵第三方供应商。SolarWinds就是一起典型的供应链攻击事件。
6. 数据或信息掮客
“数据经纪人”或“信息经纪人”(IB)即可以指合法的服务商也可以是非法的攻击者。
前者从公共来源获取数据,如法庭记录、社交媒体档案、联系方式、企业注册记录,并进行数据聚合。然后,这些信息可以合法地与营销人员、研究人员和企业共享,并收取一定费用。后者则是非法的数据经济人。例如,在暗网和数据泄露市场上出售黑客盗取的资料或机密数据。这些数据包括但不限于账户凭证、信用卡信息、购物历史、企业通讯录,以及个人信息等。
结语
从开发者到XaaS,再到IAB、IB,这些分工都是黑产链各个环节的货币化,各自出售攻击链的一部分或向更广泛的买家出售相同的恶意软件(配置不同)来成倍地增加利润。通过这种模式,能够赚更多的钱,同时做更少的工作。
黑色产业链俨然已经是一个“自然竞争的商业环境”,形成了竞争群体和一个真正的市场。这些市场随之带来的,则是网络攻击门槛的降低,攻击者无需精通各个方面的技术,就能够有效开展网络犯罪活动。
瑞星是怎样的杀毒软件
瑞星公司的统计、研究表明,目前的互联网非常脆弱,各种基础网络应用、电脑系统漏洞、Web程序的漏洞层出不穷,这些都为黑客/病毒制造者提供了入侵和偷窃的机会。 普通网民的基础上网应用包括浏览网页(搜索)、网上银行、网络游戏、IM软件、下载软件、邮件等,都存在着或多或少的安全漏洞,除了其自身的安全被威胁之外,同时也成为病毒入侵电脑系统的黑色通道。 与此同时,病毒产业链越来越完善,从病毒程序开发、传播病毒到销售病毒,形成了分工明确的整条操作流程,这条黑色产业链每年的整体利润预计高达数亿元。 黑客和电脑病毒窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号等等,包罗万象,任何可以直接或间接转换成金钱的东西,都成为黑客窃取的对象。 通过分工明确的产业化操作,中国大陆地区每天有数百甚至上千种病毒被制造出来,其中大部分是木马和后门病毒,占到全球该类病毒的三分之一左右。 最初的病毒制造者通常以炫技、恶作剧或者仇视破坏为目的;从2000年开始,病毒制造者逐渐开始贪婪,越来越多地以获取经济利益为目的;而近一两年来,黑客和病毒制造者越来越狡猾,他们正改变以往的病毒编写方式,研究各种网络平台系统和网络应用的流程,甚至杀毒软件的查杀、防御技术,寻找各种漏洞进行攻击。 除了在病毒程序编写上越来越巧妙外,他们更加注重攻击“策略”和传播、入侵流程,通过各种手段躲避杀毒软件的追杀和安全防护措施,达到获取经济利益的目的。 在2007年上半年瑞星全球病毒监测网截获的所有病毒中,明显针对国内用户、或是明显带有“中国制造”特征的病毒,占据所有病毒总数的37%左右,首度跃居全球第一,中国大陆地区正成为全球电脑病毒危害最严重的地区。 瑞星反病毒专家认为,两种主要因素导致这种现状的产生,一是国内互联网软件和应用存在大量安全隐患,普遍缺乏有效的安全防护措施,二是,国内黑客/病毒制造者集团化、产业化运作,批量地制造电脑病
从业人员履行安全生产职责的义务是什么?
1、从业人员在作业过程中,应当严格遵守本单位的安全生产规章制度和操作规程,服从管理,正确佩戴和使用劳动防护用品。 2、从业人员应当接受安全生产教育和培训,掌握本职工作所需的安全生产知识,提高安全生产技能,增强事故预防和应急处理能力。 3、从业人员发现事故隐患或者其他不安全因素,应当立即向现场安全生产管理人员或者本单位负责人报告;接到报告的人员应当及时予以处理。
发表评论