Maria Korolov

無論是通過欺詐還是合法購買，網(wǎng)絡(luò)犯罪分子越來越依賴于主流服務(wù)來支持他們的犯罪活動。

說到網(wǎng)絡(luò)犯罪的基礎(chǔ)設(shè)施，暗網(wǎng)以其秘密的犯罪市場、非法洗錢服務(wù)和“僵尸網(wǎng)絡(luò)即服務(wù)”而聲名狼藉。犯罪分子也從合法的商業(yè)基礎(chǔ)設(shè)施提供商那里得到了他們需要的很多東西。

這不僅僅是因為主流供應(yīng)商比那些通過違法活動謀生的人更可靠，同時使用商業(yè)基礎(chǔ)設(shè)施也是網(wǎng)絡(luò)攻擊者避免被發(fā)現(xiàn)的一種方法，使得在他們從事犯罪活動時，看起來貌似是合法的。本文介紹犯罪分子利用和濫用合法技術(shù)基礎(chǔ)設(shè)施企業(yè)和服務(wù)提供商的一些方式。

1.盜取或者合法購買云服務(wù)

當(dāng)犯罪分子使用云服務(wù)的方式并不明顯違法時，他們可以使用合法的支付方式來支付云服務(wù)的費用。

在某些情況下，提供商也會接受比特幣或者其他匿名支付方式。在其他情況下，可能會有經(jīng)銷商——即從大的云提供商那里購買服務(wù)的合法企業(yè)，加價轉(zhuǎn)售給匿名買家。WhiteHat安全公司的安全研究員Bryan Becker評論說：“實際上，這很簡單。我是在一家云托管大提供商那里做到這些的。你訪問一個網(wǎng)站，它看起來和感覺起來都是真的，你購買服務(wù)，立刻就能使用。他們是合法的經(jīng)銷商，但他們的整個商業(yè)模式是，你可以使用比特幣和其他加密貨幣購買托管服務(wù)。”

Becker介紹說，這些服務(wù)是合法使用的，比如，客戶所居住的地區(qū)沒有銀行基礎(chǔ)設(shè)施的情況。他補充說，一些經(jīng)銷商可能違反了云服務(wù)提供商的服務(wù)條款，但他們并不一定違法。

這還不是犯罪分子獲得合法云服務(wù)提供商服務(wù)使用權(quán)限的唯一途徑。安全公司Exabeam的首席研究員Jeff Nathan問道：“當(dāng)能偷的時候，為什么還要付錢？”例如，犯罪分子經(jīng)常能使用被盜的信用卡——盡管他們可能要嘗試很多次才能找到一張能用的信用卡。

他說，更好的方法是侵入企業(yè)賬戶。Nathan說：“如果這家企業(yè)足夠大，擁有云服務(wù)提供商的大量賬戶，那么很難追蹤到這些賬戶。各種干擾因素實在太多了?！币坏┓缸锓肿荧@得了某個云賬戶的訪問權(quán)，他們就可以使用云賬戶來托管惡意或者欺騙性的網(wǎng)站、協(xié)調(diào)僵尸網(wǎng)絡(luò)數(shù)據(jù)流、托管惡意軟件下載、臨時存儲被盜的數(shù)據(jù)，或者進(jìn)行網(wǎng)絡(luò)釣魚活動。

如果數(shù)據(jù)流來自企業(yè)已經(jīng)在使用的某項服務(wù)，那么它一般能繞過安全過濾器。安全公司Protegrity負(fù)責(zé)產(chǎn)品和開發(fā)的高級副總裁Dominic Sartorio最近遇到了使用亞馬遜S3存儲桶的一種有趣的犯罪行為。企業(yè)遇到的亞馬遜存儲桶問題一般是在配置細(xì)節(jié)上，偶爾會設(shè)置為允許公共訪問。在他與之合作的一家大型金融服務(wù)公司的案例中，正是犯罪分子設(shè)置了存儲桶。

Sartorio介紹說：“他們的客戶服務(wù)和客戶忠誠度部門想做一些分析。作為影子IT，他們自己做的，沒有經(jīng)過正確的程序。”犯罪分子侵入了這一過程，使用偽造的公司電子郵件地址向部門員工發(fā)送非常令人信服的電子郵件，發(fā)給他們S3存儲桶的地址，并邀請他們上傳數(shù)據(jù)。犯罪分子們已經(jīng)在存儲桶里植入了假冒但是非常逼真的數(shù)據(jù)。他說：“于是，營銷部門連接到了這個假的S3存儲桶，認(rèn)為這是他們自己的，并上傳了真實的數(shù)據(jù)?！?/p>

Sartorio說，這家銀行有好幾種方法可以防止這種情況發(fā)生，一旦得知有泄露，他們確實采取了額外的安全措施。Sartorio的公司提供云數(shù)據(jù)安全軟件，他建議對數(shù)據(jù)本身進(jìn)行保護(hù)。他說：“如果數(shù)據(jù)被加密了，那么犯罪分子就不能把數(shù)據(jù)怎么樣。”

企業(yè)還可以應(yīng)用數(shù)據(jù)丟失預(yù)防（DLP）技術(shù)來監(jiān)控上傳到云平臺的敏感數(shù)據(jù)。反網(wǎng)絡(luò)釣魚技術(shù)也可用于發(fā)現(xiàn)不良電子郵件。他說：“如果你查看郵件，可能會發(fā)現(xiàn)它與發(fā)送者的身份不符，而且它的發(fā)送過程經(jīng)歷了一些奇怪的跳躍，但一般的非技術(shù)營銷人員意識不到這些。”

2.證書頒發(fā)機構(gòu)被盜或者驗證不充分

用戶知道在訪問網(wǎng)站時要看看有沒有一個“小鎖”的符號，一些瀏覽器或者企業(yè)防火墻可能會完全阻止對不安全網(wǎng)站的訪問。這種安全功能依賴于可信證書。證書也用于對軟件進(jìn)行簽名，這樣用戶就知道他們沒有下載病毒。

Edgewise網(wǎng)絡(luò)公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Peter Smith表示，濫用證書是目前一種非常常見的攻擊方法。他說：“我們最近看到很多惡意軟件使用合法的證書。在某些情況下，這些證書是被盜的。在其他情況下，它們之所以發(fā)布了，是因為驗證過程太糟糕了?！?/p>

為了防止這種情況發(fā)生，他建議企業(yè)一定要有一個相應(yīng)的系統(tǒng)，該系統(tǒng)要求證書去訪問最新的吊銷列表，并適當(dāng)?shù)貙徍俗C書頒發(fā)機構(gòu)。他說：“你所信賴的供應(yīng)商務(wù)必要采用證書的最佳實踐?！?/p>

3.公共安全研究與披露

很多網(wǎng)絡(luò)安全信息和工具都可以通過商業(yè)渠道獲得，犯罪分子很容易就能獲取其中的大部分。安全公司Balbix的創(chuàng)始人兼首席執(zhí)行官Gaurav Banga說，犯罪分子幾乎能和安全專業(yè)人員同時發(fā)現(xiàn)新漏洞，而且會立即加以利用。他說：“好人必須遵守企業(yè)的協(xié)議。這樣導(dǎo)致壞人的反應(yīng)會更快?！?/p>

一些安全供應(yīng)商發(fā)布威脅的排名列表。他說，這讓攻擊者很清楚財富500強企業(yè)將會采取何種措施進(jìn)行防御。然后就出現(xiàn)了像VirusTotal和SpamHaus這樣的工具。Banga說，它們對安全專業(yè)人員很有用，但對編寫病毒和電子郵件以繞過防火墻的犯罪分子同樣有用。

Virtru安全公司的產(chǎn)品管理副總裁Rob McDonald說，犯罪分子長期以來一直都在使用安全工具。他說：“與其說這些工具是新出現(xiàn)的，不如說是犯罪分子們使用的太老練了?！?/p>

McDonald補充道，首席安全官必須提高他們的水平。他說：“我不想這么說，但現(xiàn)實情況是，很多企業(yè)仍然沒有盡快修補其漏洞。這取決于企業(yè)的規(guī)模，可能需要數(shù)周甚至數(shù)月的時間才會作出響應(yīng)?！彼f，企業(yè)應(yīng)該在補漏洞方面做得更好，如果不能選擇立即修補，則應(yīng)采取其他安全措施來降低風(fēng)險。

4.匿名支付服務(wù)

守法公民使用匿名支付服務(wù)的理由有很多。例如，他們可能想給朋友和家人贈送禮品卡?；蛘撸?dāng)他們看到新聞頭條上有如此多的泄露事件時，他們可能不想讓別人看到他們真實的支付信息。Nathan說：“現(xiàn)在有很多服務(wù)，比如Blur和Privay.com，可以讓你創(chuàng)建匿名信用卡。”

當(dāng)然，還有比特幣。并非所有商業(yè)基礎(chǔ)設(shè)施提供商都接受匿名支付方式。如果一個犯罪分子真的想要使用其中一家供應(yīng)商，而且是支付真正的錢，不是使用被盜的賬戶憑據(jù)或者被盜的信用卡，那么一些經(jīng)銷商將充當(dāng)中間人。

5.“防彈”代理

防彈代理服務(wù)（也稱為智能代理）能夠隱藏用戶的位置。而防彈托管服務(wù)也有其另一面，也就是保護(hù)了惡意網(wǎng)站。合法目的是保護(hù)腐敗政權(quán)中的積極分子。半合法目的是允許用戶規(guī)避內(nèi)容提供商的地理限制。然而，在實踐中，犯罪分子經(jīng)常使用智能代理來發(fā)動攻擊。

該服務(wù)可以訪問數(shù)百萬甚至數(shù)千萬個住宅IP地址。從今年5月到7月，安全供應(yīng)商Cequence安全公司發(fā)現(xiàn)住宅防彈代理在零售業(yè)的流量增長了800%。金融業(yè)整體增長518%，增幅361%。Cequence公司的威脅研究主管Will Glazier說：“這些網(wǎng)絡(luò)并不一定是非法的，因為其中一些是由自愿加入網(wǎng)絡(luò)的用戶建立的。他們自愿是因為他們基本上被蒙騙了?！崩?，一個這樣的網(wǎng)絡(luò)向用戶承諾提供免費的點對點VPN服務(wù)，而實際上，他們的計算機被代理僵尸網(wǎng)絡(luò)控制了。

有些網(wǎng)絡(luò)提供的代理數(shù)量超過了3200萬個，所以不太可能所有的IP地址都來自自愿的志愿者。僵尸網(wǎng)絡(luò)中充斥著受感染的計算機、路由器、智能攝像頭——住宅IP地址上的任何與網(wǎng)絡(luò)相連的設(shè)備。

一旦準(zhǔn)備好，這些僵尸網(wǎng)絡(luò)就可以用來采用被攻破的用戶名和密碼嘗試登錄銀行。Glazier說：“他們將通過100萬個不同IP和100萬個不同憑證對，為100萬個請求尋找路由。目的是讓它看起來像100萬個不同的普通美國用戶?！蓖瑯拥牟呗砸部梢杂糜趶V告點擊欺詐和其他攻擊源看起來像普通人的攻擊。

Glazier說，該問題必須從幾個方面著手解決。他說，例如，網(wǎng)絡(luò)服務(wù)提供商（ISP）自己拆除僵尸網(wǎng)絡(luò)?！拔覀冎苯诱业絀SP，告訴他們，‘我們看到你的5萬個IP地址攻擊了一個客戶，我們認(rèn)為它們來自同一類路由。他們會更新路由器，并重置?！?/p>

對于防范憑據(jù)造假和廣告點擊欺詐的個別公司來說，當(dāng)前的最佳做法是使用行為分析來發(fā)現(xiàn)可疑的登錄。例如，安全攝像頭通常不會在凌晨兩點檢查其銀行余額。Glazier說：“另一個與常規(guī)行為不同的是登錄速度。人不會以恒定的速度打字?！?/p>

6.呼叫轉(zhuǎn)發(fā)平臺

Protegrity公司的Sartorio說，如果電話號碼看起來很像自己熟悉的電話號碼，那么人們更有可能接聽電話。企業(yè)員工尤其如此，他們很容易識別出屬于公司電話總機的號碼，或者非常相似的號碼。他補充說：“很多公司不會使用整個號段。他們只是使用其中的一部分號碼?！?/p>

例如，Protegrity公司本身有一個IP承載語音（VoIP）系統(tǒng)，其中所有電話號碼都以相同的區(qū)號開始，然后是相同的前三位數(shù)字。公司網(wǎng)站上公布了主要的號碼，所以犯罪分子很容易找到。

Sartorio說：“有了這些電話中心平臺，就可以自動提供新的電話號碼，并可以保護(hù)與目標(biāo)號碼非常相似的電話號碼?！惫粽邔⑦@些服務(wù)用于他們的機器電話程序，和一名公司員工接通電話，使用社會工程攻擊方法讓他們認(rèn)為自己在與公司的技術(shù)支持人員通話。他說，Protegrity公司已經(jīng)把這一主題添加到了員工的安全意識培訓(xùn)中。

Maria Korolov過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址

https：//www.csoonline.com/article/3432768/6-ways-cybercriminals-use-commercial-infrastructure.html