勒索軟體即服務與IAB產業淺析

雲鼎實驗室發表於2021-11-15

前言：

勒索軟體即服務Ransomware-as-a-Service (RaaS)是當前全球勒索軟體攻擊勢頭急劇上升的背景下出現一種服務模式。同其他Saas解決方案類似，RaaS模式已經成為一種成熟軟體商業模式。RaaS的出現大大降低了勒索攻擊的技術門檻，勒索軟體開發者可以按月或一次性收費提供給潛在使用者(犯罪組織)。這些犯罪組織，只需要購買勒索軟體來執行勒索攻擊，獲利後按比例支付贖金給勒索軟體供應商。然而隨著犯罪方式的演變，傳統的勒索方式需要犯罪者“親力親為”，即勒索團伙需要自己傳送釣魚郵件或者自己尋找目標系統漏洞來植入勒索軟體，這樣大大消耗了時間和精力，RaaS組織需要更加直接的“大門”或者中間人去做入侵,於是 Initial Access Brokers(IAB)業務就變得活躍起來。

圖1- 勒索軟體即服務（RssS）產業模式圖

IAB產業現狀

IAB（Initial Access Brokers-初始訪問代理業務）是指攻擊者透過多種方式獲得的受害者網路資產初始化訪問許可權，而後將其出售給犯罪組織實施犯罪的中間人行為，犯罪組織通常為勒索軟體團伙或其附屬機構。“初始訪問許可權”不僅泛指RDP、VPN、Webshell、SSH許可權這些可以直接進入目標網路的許可權，還有一些未授權訪問的資產、資料庫資產、系統使用者的賬戶許可權等，也包括可利用的企業系統、網路裝置，如Citrix、Fortinet、ESXI 和 Pulse Secure的歷史漏洞和許可權。攻擊者可以將這些系統的許可權放到駭客論壇售賣，有時候還可以多次售賣給不同勒索軟體組織，這些攻擊者可以和勒索軟體供應商形成供需關係，兩者透過匿名的IM通訊，最後透過數字貨幣支付達成交易。透過駭客論壇，勒索軟體運營商組織可購買IAB後直接植入勒索軟體達成勒索目標，可以節省勒索組織在受害者網路環境中入侵的時間和精力以及各種成本，這樣勒索軟體攻擊者可以將所有時間和精力集中在“改善”勒索軟體有效載荷和與他們的附屬機構協調操作上，同時可以在暗網論壇上指定需要的許可權型別與目標行業，IAB的出現為RaaS提供了極大的便利。

圖2- RaidfForums上賣家出售資料庫資訊的帖子

圖3- RaidForums上買家購買手機資料庫資料的帖子

在利益的驅動下，RaaS與IAB的交易越來越密切，值得關注的是：根據Digital Shadows統計，IAB交易的熱點行業許可權top5 為零售行業、金融行業、科技行業與工業製造業(如醫藥製造)，科技行業的初始訪問代理許可權平均價格最高為13,607 美元。

圖4- DigitalsShadows統計2020年IAB的熱點行業及價格

IAB初始訪問許可權獲取方法

那麼駭客通常是怎樣獲取有效的IAB的呢？我們結合威脅情報網站ke-la.com分析過IAB的幾個趨勢以及威脅情報網站curatedintel.org提供的資料，研究分析後歸納出如下圖所示的IAB初始許可權獲取路徑圖。

圖5- IAB初始許可權獲取路徑圖

透過上圖我們可以看到，IAB產業初始許可權獲取方法主要分為以下幾個路徑：

1．以目標漏洞為途徑：攻擊者透過駭客搜尋引擎來獲取受害者對外暴露的資產，之後進行ip探測，域名探測，埠開放探測（如RDP埠）以及漏洞掃描，類似於紅藍對抗中攻擊隊前期對目標的資產梳理和資訊蒐集，期間會用到各類駭客搜尋引擎如Shodan、Censys，在確定目標資產後進行漏洞掃描，漏洞掃描過程主要探測是否存在一些知名軟體的歷史CVE漏洞，相關軟體產品如VPN產品SecureVPN、雲桌面常用的Citrix軟體、虛擬化產品Vmware、微軟系列的Exchange、負載均衡裝置F5以及路由器裝置Cisco等。駭客一旦探測到相應產品存在的漏洞，就發起攻擊，攻擊成功後可獲取目標許可權，之後可以進行內網橫向，植入後門等操作，最終獲取有效的初始訪問許可權。具體使用到的漏洞如下圖所示。

圖6- IAB產業常用CVE漏洞

2. 以社會工程學為途徑：在資訊竊取活動中主要以獲得目標入口網站登入相關的MFA驗證碼（多因子校驗的秘鑰或驗證碼）為主，攻擊方式不限於語音電話釣魚、簡訊釣魚、近源攻擊、偽造商業合作釣魚等一系列社會工程學攻擊，這些攻擊手段層出不窮，較為值得關注是電話釣魚，國外專注於人員安全意識培訓和釣魚模擬攻擊服務的公司Terranova有總結到相關社工策略：“第一種常見的策略是一些網路犯罪分子使用強硬的語言，表示他們正在幫助受害者避免刑事指控；第二種常見的策略是犯罪分子留下威脅性的語音郵件，告訴收件人立即回電，否則受害者可能會被逮捕，銀行賬戶被關閉，或者會發生更糟糕的事情。在網路犯罪分子使用威脅和令人信服的語言下讓受害者覺得別無選擇，受害者只能提供犯罪分子想要的資訊。”

圖7- Terranova對Vishing的解讀

3. 以售賣資訊的地下市場為途徑：使用在地下市場上出售的使用者資訊獲得訪問許可權，駭客透過著名論壇OGuser購買到關於受害者目標使用者身份的訪問許可權後嘗試登入受害者的相關網站。

圖8- OGuser上的賬戶交易服務

4. 以第三方資料洩露為途徑：使用來自第三方資料洩露的憑證獲取訪問許可權，拿到相關洩露資料後，與上述第三種方式不同，第三方洩露資料需要“二次加工”，可以透過密碼噴灑，撞庫攻擊，暴力破解等方式嘗試登入受害者系統來獲取目標系統訪問許可權。

圖9- DeHashed論壇資料洩露交易

5. 使用網路釣魚活動獲取訪問許可權：以郵件釣魚為主，透過惡意郵件投遞一些惡意軟體，如RedLine Stealer (RedLine Stealer是一種惡意軟體，該惡意軟體從瀏覽器收集資訊，例如儲存的憑據：自動填充的資料和信用卡資訊等)，Vidar( Vidar是一種基於Arkei 的分叉惡意軟體)，Taurus(Taurus是一種基於C/C++實現的資訊竊取惡意軟體),LokiBot(也稱為 Lokibot、Loki PWS和Loki-bot，使用特洛伊木馬惡意軟體來竊取敏感資訊，例如使用者名稱、密碼、加密貨幣錢包和其他憑據)等，這些釣魚方式大部分都是以惡意文件為載荷,當受害者開啟文件後利用宏去執行或下載被加密後的Shellcode，之後建立C2通道進行長期控制竊取資訊，相關細節如下圖。Malpedia對這些軟體都有解釋和記錄，有興趣同學可在Malpedia上查詢。駭客在受害者不小心中招了相關惡意軟體後可直接獲得目標的初始訪問代理許可權。