SaaS的阴暗面:网络攻击武器化、平民化无需掌握熟练的技术或代码,只需使用成熟的武器化工具,即可通过简单的“一键操作”对目标输出成吨的伤害。显然,这其中隐藏着巨大的商业市场,吸引了无数黑客组织来分食这块大饼。为了实现可持续运营,他们开始利用SaaS(软件即服务)平台的优势:便宜、灵活、易于扩展,进而衍生出钓鱼即服务(Phaas)、勒索软件即服务(RaaS)等模式。在这些模式下,黑客组织负责向用户销售和订阅勒索软件,并获得一定比例的攻击收益,同时主要负责最新变种的开发。可以说,技术研发+销售+运营相结合的业务驱动模式已经成为标准的运营模式。随着新冠疫情的持续影响,全球产业对互联网的依赖度更高。基于SaaS的网络攻击已经能够主动适应这种变化趋势,并迅速商业化和武器化,成为一种相对成熟的软件商业模式。人人解释黑客的时代似乎在未来。当黑产变成SaaS,技术门槛将不再是摆在大家面前的障碍,“黑客”这个词也就失去了光环。换句话说,这群人将不配被称为“黑客”,而只能被称为“黑产”,其最终目的是追逐现金收入。这无异于给全球企业的脑袋重重一击,未来网络攻击的威胁将成倍增长。正如热武器降低了破坏的门槛一样,各种恶意SaaS平台的出现也降低了作恶的门槛。毕竟普通人射出的子弹同样致命,网络空间亦然。1.网络钓鱼即服务(Phaas)网络钓鱼即服务是一种相对较新的服务类型。PhaaS组织可以提供从模板创建、托管到整体编排的全流程钓鱼攻击业务模块,使攻击者无需具备搭建能力或技术知识即可接管基础设施托管钓鱼工具包(模拟各种登录页面),大大降低了攻击门槛。根据PaloAltoNetworksUnit42的一份调查研究报告,从2021年6月到2022年6月,SaaS攻击的滥用增加了11倍。2021年6月至2022年6月,基于SaaS的钓鱼活动滥用将迎来激增。为了更加商业化和标准化,同时最大程度地吸引客户,一些PhaaS已经从过去只在暗网上推广逐渐走向前台。自己的公共门户。与一些需要参与特定攻击的勒索软件即服务(RaaS)不同,例如其运营团队参与赎金谈判,PhaaS往往更纯粹地用于销售钓鱼服务,因此在一些国家,它会被更难起诉PhaaS平台,因为他们自己不会进行任何攻击,即使专门购买服务的攻击者被警方抓获,PhaaS也可以继续销售其服务或产品而不受影响。1.BulletProofLink——大型PhaaS平台2021年,微软曝光了一个大型PhaaS平台——BulletProofLink,该平台自2018年开始活跃,拥有100多个可用网络,模仿知名品牌和服务的网络钓鱼模板并在其上销售自己的门户网站,每月800美元。为了进行宣传,他们使用YouTube和Vimeo等平台提供教学视频,在黑客论坛或其他网站上进行营销,目前被多个客户群以一次性或按月付费的模式使用。当客户花费800美元购买该服务时,BulletProofLink非常强大,包括设置网页托管钓鱼网站、安装钓鱼模板、为钓鱼网站配置域名、向目标受害者发送实际的钓鱼电子邮件以及从中收集凭据攻击等待。如果你想更改服务或模板,也可以从BulletProofLink运营的在线商店购买,价格从80美元到100美元不等。由BulletProofLink运营的在线商店微软表示,BulletProofLink经常使用被黑网站托管钓鱼页面,并且在某些情况下观察到其团伙破坏被黑网站的DNS记录,以便在受信任的网站上生成子域来托管钓鱼页面。在一次活动中,BulletProofLink使用了大量新创建的独特子域,单次运行超过300,000个,显示了服务的绝对规模。2.咖啡因——针对中国用户与大多数针对西方国家的用户不同。最近,一个名为“咖啡因”(caffeine)的PhaaS平台专门针对中国和俄罗斯。Mandiant的安全分析师发现,Caffeine的进入门槛较低,但功能丰富。创建帐户后,您可以访问后台面板,其中包含创建网络钓鱼活动所需的工具和数据面板。Caffeine提供的服务套餐根据功能不同分为三个档次:每月250美元、三个月450美元、六个月850美元。虽然价格是一般PhaaS订阅的3-5倍,但Caffeine试图提供反检测和反分析系统以及客户支持服务,让客户感到“物有所值”。在网络钓鱼选项方面,该平台提供的一些高级功能包括:自定义动态URL模式机制,以协助动态生成预填充受害者特定信息的页面;第一阶段主动重定向页面和最终诱饵页面;用于地理封锁、基于CIDR范围的封锁等的IP封锁列表选项。Caffeine提供了多种网络钓鱼模板选项,包括Microsoft365以及适用于中文和俄语平台的各种模板。针对中国用户的钓鱼邮件3.EvilProxy——一键式反向代理Resecurity的研究人员在今年5月首次发现了一个新的PhaaS平台EvilProxy,它可以使用反向代理和cookie注入来绕过双因素认证。反向代理是位于受害者和合法身份验证窗口之间的服务器。当受害者连接到钓鱼页面时,反向代理显示合法登录页面并转发、返回或响应合法页面的请求。但是当受害者在钓鱼页面中输入他们的凭据和双因素身份验证时,它会被转发到受害者实际登录平台的服务器,并返回一个会话cookie。由于反向代理在中间,因此可以窃取包含身份验证令牌的会话cookie,并使用该身份验证cookie以用户身份登录网站,从而绕过配置的双因素身份验证保护。反向代理工作原理EvilProxy为客户提供了一个简单易用的后台管理面板,客户可以在其中设置和管理钓鱼活动。EvilProxy提供150美元的10天订阅、250美元的20天订阅和400美元的30天订阅。对于一些高价值的,比如谷歌账号被盗,费用会增加。在EvilProxy自己的宣传资料中,声称可以窃取多家知名公司或平台的用户账号,包括Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy等。显然,PhaaS平台的出现功不可没以网络钓鱼攻击的嚣张气焰。这些PhaaS平台的出现大大降低了钓鱼攻击的门槛,包括逃避邮件安全系统的检测,享受高可用性,不需要学习编写代码来创建看似合法的网站。此外,由于SaaS平台简化了创建新站点的过程,攻击者可以轻松切换到不同的主题,扩展或多样化他们的操作。更糟糕的是,安全专家普遍认为,阻止滥用这些PhaaS平台非常困难,这就是SaaS如此适合网络钓鱼活动的原因。例如,上述EvilProxy平台使用反向代理来绕过MFA控制,并从通过恶意代理钓鱼站点连接的用户那里获取有效cookie。这样,攻击者就可以绕过使用用户名/密码或MFA令牌进行身份验证的需要。2.勒索软件即服务(RaaS)“简单!低成本!一夜暴富!无需花费数年时间沉迷于编码或软件开发技能。只需下载我们简单的勒索软件工具包,您就能赚钱。来这里——享受在家工作的舒适和坐着聆听比特币落入口袋的声音的双重快乐。”这是一个基于RaaS的勒索软件平台的诱人推广介绍,与PhaaS类似,RaaS搭建的在线平台几乎涵盖了勒索软件攻击所需的所有功能,客户在支付一定费用后,可以访问平台后台并携带勒索攻击,平台方向受害者收取赎金。安全公司Unit42已确定至少56个活跃的RaaS组织,其中一些组织自2020年COVID-19爆发以来一直在运营。随着RaaS模型的发展,其运作方式开始出现一些新的特点,以往的勒索方式需要不法分子“自己动手”,即勒索团伙需要发送钓鱼邮件或寻找目标系统漏洞植入勒索软件,耗时大量的时间和精力。RaaS组织需要更直接的“门”或中介。做入侵,因此InitialAccessBrokers(IAB)业务变得活跃。IAB(InitialAccessBrokers-InitialAccessBrokers)是指攻击者通过各种方式获取受害人网络资产的初始访问权,然后出售给犯罪组织实施犯罪的中介行为。犯罪组织通常是勒索软件团伙或其附属机构。这些组织的存在和RaaS模式的发展,大大降低了网络勒索软件的实施门槛,扩大了网络勒索软件的传播范围和负面影响。1.REvil——过去最常见、最活跃的RaaS组织之一REvil不仅是市场上最常见的勒索软件之一,也是较早采用RaaS模式盈利的组织。第一次攻击发生在2019年4月17日,利用OracleWebLogicServer中的漏洞CVE-2019-2725实施攻击活动。两个月后,该组织勒索软件服务的广告开始出现在XSS论坛上。REvil的运作模式是:购买其服务的攻击者负责访问受害者的目标网络、下载有价值的文件和部署勒索软件,而REvil组织本身负责与受害者协商、勒索和分发赎金。这种模式利润丰厚,根据REvil的说法,一个附属机构甚至可以赚取30,000美元,而另一个RaaS勒索集团在与REvil联手后的短短六个月内就达到了每个目标约700美元。一万到八百万美元的赎金。在一次对计算机巨头的攻击中,REvil发出了5000万的巨额赎金。在去年10月的一次多国联合执法行动中,REvil的服务器被调查。突袭后,该组织的多名核心成员被捕。就在大家认为REvil会因此彻底灭绝的时候,今年5月,一款疑似新版REvil被安全人员抓获,显示正在积极开发中。这为REvil再次卷土重来提供了可能。2.Conti——善用跨平台编程语言该勒索病毒于2019年被发现,主要以地下论坛RaaS的形式运行,广泛招募附属组织,部分附属组织可以访问Conti勒索病毒的Linux变种,这些变种支持各种不同的命令行参数,附属团体可以利用这些参数进行更多定制和更有针对性的攻击。Conti的一大特点是擅长使用Rust或Golang等跨平台编程语言编写勒索软件,从而可以轻松将勒索软件移植到其他平台。安全分析师破解跨平台二进制文件编写的恶意软件将比普通C语言编写的恶意软件更加困难。Conti主要通过网络钓鱼电子邮件、其他恶意软件、漏洞利用和远程桌面协议(RDP)暴力破解进行传播。它利用多种工具在内网实现横向移动,利用匿名Tor建立赎金支付和数据泄露平台。“企业数据威胁暴露+加密数据勒索”双重勒索策略发起攻击。自2020年7月29日发布第一条受害信息以来,截至2021年12月15日,Conti共发布了631条受害信息,其中,仅2021年一年,就影响了全球470多家机构。3.Lockbit——加密速度最快的RaaSLockBit是最近风头正劲的勒索软件组织。自2019年9月以RaaS形式首次亮相后一直活跃,现已迭代到LockBit3.0版本。LockBit声称是世界上最快的加密勒索软件。它使用自己设计的AES+ECC算法和多线程加密,每次只加密每个文件的前4KB。根据其OnionNetwork上的博客数据,Lockbit以每秒373M的速度位居所有勒索软件之首,加密一个100GB的文件仅需4分半钟。Lockbit背后的运营组织非常重视自己勒索软件的开发,为此还开发了所有必要的工具和基础设施来支持它,例如泄密站点和勒索支付门户。他们向使用此勒索软件的其他分支机构提供这些解决方案,甚至包括赎金谈判等附加服务。在进行实际攻击时,LockBit分支机构会将勒索软件感染并部署到目标中,作为回报,他们将获得受害者支付的赎金的20%。Lockbit数据泄露现场以PhaaS、RaaS为代表的恶意黑产组织利用SaaS部署迅速打开局面,大大降低了攻击门槛和成本,这也让不少低级钓鱼攻击和勒索组织大展拳脚.依赖它们的主要网络钓鱼和勒索软件组织发展迅速,它们可以迅速将新兴的新恶意软件变种武器化。近年来,它们给全球许多企业和个人带来了不可估量的损失。但正所谓魔高一尺,安全的重要性也越来越体现出来,在与对方的交锋中也会不断推出新的防御手段。3、勒索防护即服务(RPaaS)会成为新需求?无论是网络钓鱼还是敲诈勒索,作为“最薄弱的环节”,人们不可避免地会在电子邮件、网站和各种文件中徘徊,因此迫切需要更有力、更全面的防范和保护措施。因此,既然有了基于SaaS的PhaaS和RaaS,相应地,勒索软??件防护即服务(RPaaS)应运而生。在RPaaS模型中,不仅有独立的预防和容灾服务,还有连接这两个领域的检测解决方案,可以提供反勒索、钓鱼等事件前后的综合服务。RPaaS要求具有灾难恢复专业知识和网络安全专业知识的人员分成两个大组,为同一个目标进行协作。为实现这一目标,RPaaS分为三个子类别以解决业务的预防、检测和恢复问题:RPaaS流程1.安全运营中心即服务(SOCaaS)安全运营中心(SOC)团队监控威胁活动并发出警报,在攻击发生之前及时阻止攻击。该团队专注于通过利用防火墙、零容忍安全、端点、EDR、MDR、SIEM和其他检测和预防工具来快速识别和遏制恶意活动。2.勒索软件响应即服务(RRaaS)这些恢复措施包括故障转移、取证、数据清理、不可变备份和其他必要措施。流程以测试和文档为主,全程配备复制、备份、云恢复。和数据加密技术,将灾难恢复即服务(DRaaS)和备份即服务(BaaS)相结合,以在发生勒索软件事件时制定可靠的策略。3.虚拟首席信息安全官(vCISO)vCISO致力于帮助RPaaS中的组织,随时准备帮助恢复执行、质量保证和取证调查的战略和协调。这种持续的咨询帮助推动了安全流程的成熟并降低了业务风险。vCISO将帮助IT团队分析、建议和制定关键的业务治理政策和流程。当然,在现阶段,对于我们互联网人来说,做好自我防御,不断筑牢安全防线的底线还是很有必要的。我们可以从以下五个常规安全防御操作入手:1.数据:对重要数据进行定期备份和多次备份,并保证这些数据不暴露在公网,严格限制备份设备的访问和备份数据,防止勒索软件跨链移动,对备份数据进行加密,必要时甚至采取脱网本地备份措施。2.文件:不要点击来源不明的文件。请勿直接打开来源不明的文件,包括外接设备(U盘、硬盘)中未经安全扫描的文件。另外,不要浏览色情、赌博等有害信息网站,此类网站经常受到挂马、钓鱼等攻击者的攻击,不要从不明网站下载安装软件,以防勒索病毒伪装成更新升级的正常软件。3.电子邮件:提防网络钓鱼电子邮件被视为网络钓鱼是勒索软件或勒索攻击中最常见的漏洞,其中可疑链接和附件往往隐藏着“武器”。为此,请警惕来源不明的邮件,不要点击其中的链接或附件,并注意其中包含的邮??件或网址。检查是否使用了合规正常的域名,避免被引向伪装的钓鱼网站。4.防御:经常杀毒,检查点安装和及时更新杀毒软件、防火墙和电子邮件过滤器,系统监控定期漏洞扫描;关闭不需要的服务和端口,包括不需要的远程访问服务(3389端口、22端口)、不需要的局域网共享端口,如135、139、445等。5、应急预案:提前制定应急响应对于重要信息系统,制定应急响应勒索病毒应急预案,明确应急人员和职责,制定信息系统应急和恢复预案,定期演练;制定事件响应程序,必要时请专业安全公司协助分析、理清攻击入侵路径,及时加固堵塞漏洞。
