SaaS的阴暗面:网络攻击武器化、平民化

安全
如同热武器降低了破坏的门槛,各种恶意SaaS化平台的出现降低了作恶的门槛,毕竟,从普通人手中射出的子弹同样无比致命,网络空间也是如此。

你不一定懂编程,甚至都看不懂几行代码,但依然能成为杀伤力十足的黑客,这就是现阶段不少网络攻击的特点:不需要掌握娴熟的技术或代码,仅仅利用成熟的武器化工具,就能通过简单的“一键操作”,对目标输出成吨伤害。

显而易见,这其中暗藏了巨大的商业市场,吸引了无数黑客组织团体前来分一杯羹。为了能够做到可持续化运作,他们开始借助SaaS(软件即服务)平台的优势:价格便宜、灵活性强、易于拓展,进而衍生出网络钓鱼即服务(PhaaS)、勒索软件即服务(RaaS)等模式。

在这些模式下,由黑客组织负责勒索软件出售、订阅给用户,并获得一定比例的攻击收益分成,自己则主要负责最新变种的开发。可以说,通过以业务为驱动,结合技术研发+出售+运营的模式,成为其运作的标准方式。

随着新冠疫情带来的持续性影响,全球产业更加高度依赖网络,基于SaaS的网络攻击已经能够积极顺应这一变化趋势,快速商业化、武器化,成为了一种较为成熟的软件商业模式。

人人解释黑客的时代似乎将在未来出现。当黑产走向SaaS化之后,技术门槛将不再是挡在众人面前的障碍,“黑客”这一名词将失去它的光环。亦或者说,这群人将不配被称为“黑客”,只能称之为“黑产”,以追逐现金收益为最终目的。

这对于全球企业来说无异于当头一棒,未来面临的网络攻击威胁将成倍增加。如同热武器降低了破坏的门槛,各种恶意SaaS化平台的出现降低了作恶的门槛,毕竟,从普通人手中射出的子弹同样无比致命,网络空间也是如此。

一、网络钓鱼即服务(PhaaS)

网络钓鱼即服务是一种较新的服务类型,PhaaS 组织可提供从模板创建、托管和整体编排的全流程钓鱼攻击业务模块,能让攻击者不必具备构建或接管基础设施以托管网络钓鱼工具包(模拟各种登录页面)的技术知识,从而显著降低了攻击门槛。根据Palo Alto Networks Unit 42的一份调查研究报告,从 2021 年 6 月到 2022 年 6 月,SaaS的滥用攻击行为暴增了11倍。

2021年6 月到 2022 年 6 月,网络钓鱼活动中基于SaaS 的滥用行为迎来暴增

为了更加商业、规范化,同时最大程度吸纳客户,一些PhaaS已经由过去只在暗网推广逐渐走向前台,拥有自己公开的门户网站。

不同于一些勒索软件即服务(RaaS)需要参与到具体的攻击行动中,比如其运营团队参与赎金谈判,PhaaS往往更加纯粹于钓鱼服务的出售,因此在一些国家,如果要起诉PhaaS平台将较为困难,因为他们本身不会进行任何攻击,即使具体购买服务的攻击者被警方捕获,PhaaS也可以不受影响继续销售其服务或产品。

1、BulletProofLink——规模庞大的PhaaS平台

2021年,微软曾曝光过一个大规模的PhaaS平台——BulletProofLink,该组织自2018年以来就一直活跃,拥有 100 多个模仿已知品牌和服务的可用网络钓鱼模板,并以每月800 美元的价格在自家门户网站上销售。为了推广,他们利用YouTube和Vimeo等平台提供教学视频,在黑客论坛或其它网站进行营销,目前被多个客户团体以一次性或按月付费的模式使用。

当客户花费800美元购买服务后,BulletProofLink的功能将十分强大,包括设置一个网页来托管钓鱼网站、安装钓鱼模板、为钓鱼网站配置域名、向目标受害者发送实际的钓鱼邮件、从攻击中收集凭证等。如果要变更某项服务或模板,还可在BulletProofLink经营的在线商店后买,价格从80美元道100美元不等。

BulletProofLink经营的在线商店

微软表示,BulletProofLink经常使用被黑网站来托管网络钓鱼页面,在某些情况下还观察到其团伙破坏了被黑网站的DNS记录,以便在受信任的网站上生成子域来承载钓鱼网页。在一次活动中,BulletProofLink使用了大量新创建和独特的子域,单次运行数量超过300000个,可见该服务的规模十分巨大。

2、Caffeine——针对中国用户

与大多数针对西方国家不同,近期,被称为“Caffeine”(咖啡因)的PhaaS平台被专门用来针对中国和俄罗斯。Mandiant 的安全分析师发现,Caffeine入门门槛很低,但功能却很丰富,仅需创建账户后,就可访问后台面板,其中包含创建网络钓鱼活动所需的工具和数据面板。

Caffeine提供的服务套餐根据功能不同分为每月 250 美元、三个月 450 美元或六个月 850 美元三档,虽然价格是一般PhaaS 订阅的 3-5 倍,但Caffeine试图通过提供反检测和反分析系统以及客户支持服务来让客户觉得“物有所值“。

在网络钓鱼选项方面,该平台提供的一些高级功能包括:自定义动态 URL 模式机制,以协助动态生成预填充受害者特定信息的页面;第一阶段的活动重定向页面和最终诱饵页面;用于地理封锁、基于 CIDR 范围的封锁等的 IP 封锁列表选项。Caffeine 提供了多种网络钓鱼模板选项,包括 Microsoft 365 以及针对中文和俄语平台的各种模板。

针对中国用户的钓鱼邮件

3、EvilProxy——一键反向代理

Resecurity 研究人员在今年5月首次发现了一个新型PhaaS平台 EvilProxy,能够使用反向代理与 Cookie 注入来绕过双因素认证。反向代理是指位于受害者和合法身份验证窗口之间的服务器,当受害者连接到网络钓鱼页面时,反向代理会显示合法的登录页面,并转发、返回合法页面的请求或相应。但当受害者将其凭证和双因素验证输入到钓鱼页面后,会被转发到受害者实际登录平台的服务器并返回会话Cookie。由于反向代理位于中间,因此可以窃取含有身份验证令牌的会话cookie,并使用该身份验证cookie以用户身份登录网站,从而绕过已配置好的双因素身份验证保护。

反向代理工作原理

EvilProxy为客户提供了一个简洁易用的后台管理面板,可以在其中设置和管理网络钓鱼活动。EvilProxy给出了10天150美元、20天250美元、30天400美元的订阅方式而针对一些高价值,例如谷歌账户的的窃取,费用会有所上浮。在EvilProxy自身的宣传资料中,宣称可窃取多家知名企业或平台的用户账号,包括Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy等。

很明显,PhaaS平台的出现助长了钓鱼攻击的气焰。

这些PhaaS平台的出现极大地降低了钓鱼攻击的门槛,其中包括规避电子邮件安全系统的检测、享受高可用性以及无需学习编写代码来创建看似合法的网站。此外,由于 SaaS 平台简化了创建新站点的过程,攻击者可以轻松切换到不同的主题、扩大或多样化其运营。

更糟糕的是,安全专家们普遍认为,阻止这些PhaaS平台的滥用非常困难,这也是 SaaS如此适合网络钓鱼活动的原因所在。

例如上文介绍的EvilProxy平台,使用了反向代理绕过 MFA控制,从通过恶意代理网络钓鱼站点连接的用户那里获取有效Cookie。这样,攻击者就可以绕过使用用户名/密码或MFA令牌进行身份验证的需要。

二、勒索软件即服务(RaaS)

“简单!低成本!一夜暴富!不需要花多年时间浸淫代码编写或软件开发技艺。只需要下载我们简单的勒索软件工具包,就能让您钱财源源而来——享受在家办公的舒适与弹指坐听比特币落袋声的双重快乐。”这是来自某基于RaaS的勒索软件平台颇具吸引力的推广介绍。

与PhaaS类似,RaaS构建的在线平台几乎涵盖了勒索软件攻击所需的所有功能,客户支付一定费用后即可访问平台后端并开展勒索攻击,平台方则坐收受害者的赎金分成。安全公司Unit 42已经发现至少56 个活跃的RaaS 组织,其中一些从2020 年新冠疫情爆发以来便一直在运作。

而随着RaaS模式的发展,其运作方式也开始出现一些新的特征。过去勒索方式需要犯罪者“亲力亲为”,即勒索团伙需要自己发送钓鱼邮件或者自己寻找目标系统漏洞来植入勒索软件,这样大大消耗了时间和精力,RaaS组织需要更加直接的“大门”或者中间人去做入侵,于是Initial Access Brokers (IAB)业务就变得活跃起来。

IAB(Initial Access Brokers-初始访问代理业务)是指攻击者通过多种方式获得的受害者网络资产初始化访问权限,而后将其出售给犯罪组织实施犯罪的中间人行为,犯罪组织通常为勒索软件团伙或其附属机构。

这些组织的存在以及RaaS 模式的发展大大降低了实施网络勒索的门槛,扩大了网络勒索软件的传播范围和负面影响。

1、REvil——曾经最普遍且活跃的RaaS组织之一

REvil不仅是市场上最普遍的勒索软件之一,也是较早采用RaaS模式盈利的组织,首次攻击实施于2019年4月17日,利用OracleWebLogic服务器中的漏洞CVE-2019-2725实施了攻击活动。两个月后,XSS论坛上开始出现该组织售卖勒索软件服务的广告。

REvil的运作模式为:购买其服务的攻击者负责访问受害目标网络,下载有价值的文件并部署勒索软件,而REvil组织本身则负责与受害者谈判、勒索及分发赎金。这种模式带来了丰厚的利润,根据REvil的说法,一个会员的收入甚至可达到3万美元,而另一家RaaS勒索组织在与REvil联手后仅六个月内就达到了每个目标约700万美元至800万美元的赎金收益。

在针对某计算机巨头的攻击中,REvil开出5000万巨额勒索赎金

在去年10月的多国联合执法行动中,REvil的服务器被查,今年1月初,俄罗斯联邦安全局 (FSB) 在该国多地进行突袭后,逮捕了多名组织核心成员。就在大家以为REvil会因此彻底绝迹时,今年5月,疑似新版本的REvil被安全人员捕获,并显示其正在积极开发过程中。这为REvil的再次复出提供了可能性。

2、Conti——擅用跨平台编程语言

该勒索软件被发现于2019年,主要是在地下论坛以RaaS形式运营,并广泛招收附属组织,某些附属组织能够访问Conti勒索软件的Linux变体,这些变体支持各种不同的命令行参数,附属组织可以利用这些参数进行更加定制化、更具有针对性的攻击。

Conti一大特点是善于利用Rust 或 Golang等跨平台编程语言编写勒索软件,使之能够方便地将勒索软件移植到其他平台。相比于由普通C语言编写,安全分析人员若要破解由跨平台二进制文件编写的恶意软件将会更加困难。

Conti主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议(RDP)暴力破解进行传播,组合利用多种工具实现内网横向移动,并利用匿名化Tor建立赎金支付与数据泄露平台,采用“威胁曝光企业数据+加密数据勒索”双重勒索策略发动攻击。自2020年7月29日公布第一个受害者信息以来,截至2021年12月15日,Conti共计公布了631个受害者信息,其中,仅在2021年就影响了全球范围内超过470个组织机构。

3、Lockbit——加密速度最快的RaaS

LockBit是近期风头正盛的勒索软件组织,自2019 年 9 月作为RaaS首次出现以来,便一直活跃,目前已迭代至LockBit3.0版本。LockBit号称是世界上加密速度最快的勒索软件,采用自己设计的AES+ECC算法和多线程加密,每次仅加密每个文件的前4KB。根据其洋葱网络上的博客数据显示,Lockbit以每秒373M的速度位列所有勒索软件榜首,加密100GB的文件仅需要4分半钟。

Lockbit背后的运营组织十分重视对自身勒索软件的开发,为此也同时开发了支持它的所有必要工具和基础设施,例如泄露站点和赎金支付门户。他们将这些解决方案提供给其他使用该勒索软件的分支机构,甚至包括额外的服务,例如赎金谈判。在执行实际攻击中,LockBit分支机构会将勒索软件感染并部署到目标中,作为回报,他们会获得受害者支付的20%的赎金。

Lockbit数据泄露站点

以PhaaS和RaaS为代表的恶意黑产组织利用SaaS化部署迅速打开局面,大幅降低攻击门槛及成本,这也让很多低水平的钓鱼攻击和勒索软件组织有了用武之地。

依附它们而运作的各大钓鱼及勒索软件组织迅速壮大,能够将不断出现的新型恶意软件变种迅速武器化,近年来已对全球诸多企业、个人带来了难以估量的损失。但正所谓魔高一尺道高一丈,安全的重要性因此越发得到体现,新的防御手段也会在彼此的对抗中不断推陈出新。

三、勒索软件保护即服务(RPaaS)将成为新的需求?

无论是钓鱼还是勒索,作为“最薄弱环节”,人们仍将不可避免地在邮件、网站、各种文件中闯荡,因而迫切需要更强大且全面的预防及保护措施。

因此,既然有以SaaS为基础的PhaaS、RaaS,相对应的,勒索软件保护即服务(RPaaS)应运而生。在RPaaS模式中,既有独立的预防和灾难恢复服务,也有连接这两个领域的检测解决方案,可以提供防勒索及钓鱼等事件前后的全面性服务。

RPaaS要求具有灾难恢复专业知识和网络安全专业知识的人分为两大团体,以一个单一的目标进行合作。为了实现这一点,RPaaS拆分为三个子类别来解决业务的预防、检测和恢复问题:

RPaaS 流程

1.安全运营中心即服务(SOCaaS)

安全运营中心(SOC)团队会监控威胁活动并发出警告,以在攻击发生之前及时阻止。该团队专注于通过利用防火墙、零容忍安全、端点、EDR、MDR、SIEM和其他检测及预防工具,来快速识别和遏制恶意活动。

2.勒索软件响应即服务(RRaaS)

这些恢复措施包括失效备援、取证、数据清理、不可变备份以及其他必要举措,其流程专注于测试和文档化,全过程配备了复制、备份、云恢复和数据加密技术,将灾难恢复即服务(DRaaS)和备份即服务(BaaS)结合在一起,以便在勒索软件事件发生时建立可靠的策略。

3.虚拟首席信息安全官(vCISO)

vCISO专门为RPaaS中的组织提供帮助,随时帮助其制定战略并协调恢复执行、质量保证和取证调查等方面的工作。这种持续的咨询援助可以推动安全流程走向成熟并缓解业务风险。vCISO将帮助IT团队分析、建议和制定重要的业务治理政策和流程。

当然,在现阶段,对于我们身处在互联网中的个体而言,做好自我防御,不断筑高安全防御的底线依然十分必要,可以从以下常规安全防御操作“五件套入手:

1.数据:做好定期备份

将重要数据进行多重备份,并保证这些数据不被暴露于公用网络内,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密,必要时甚至采取脱网本地备份。

2.文件:未知来源勿点击

对于未知来源的文件不要直接打开,包括那些外接设备(U盘、硬盘)中未经过安全扫描的文件。此外,不浏览色情、赌博等不良信息网站,此类网站经常被攻击者发起挂马、钓鱼等攻击,也不要从不明网站下载安装软件,以防勒索软件伪装为正常软件的更新升级。

3.邮件:警惕钓鱼

钓鱼邮件被认为是钓鱼或勒索攻击中最为常见的突破口,其中可疑的链接及附件内容常常暗藏“凶器”。为此要警惕来路不明的邮件,不要轻易点击其中的链接或附件,对邮件或其中包含的URL要仔细审查,判断是否采用合规、正常的域名,避免被定向至经过伪装的钓鱼站点。

4.防御:勤杀毒、把关口

安装和并及时更新防病毒软件、防火墙和电子邮件过滤器,对系统进行定期的漏洞扫描;关闭不必要的服务和端口,包括不必要的远程访问服务(3389端口、22端口),以及不必要的135、139、445等局域网共享端口等。

5.预案:提前制定应急响应

针对重要信息系统,制定勒索软件应急响应预案,明确应急人员与职责,制定信息系统应急和恢复方案,并定期开展演练;制定事件响应流程,必要时请专业安全公司协助,分析清楚攻击入侵途径,并及时加固堵塞漏洞。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2010-08-05 09:54:54

2022-01-12 10:39:11

数字化转型企业技术服务

2023-11-20 14:32:48

大数据企业

2018-10-18 09:55:15

大数据数据大数据安全

2023-05-22 10:06:21

2019-08-04 20:59:27

云安全阴暗面云计算

2013-04-01 17:16:36

GitHub开源

2014-07-17 15:05:49

阿里云ODPS数据处理

2010-07-23 11:04:24

云计算

2013-02-26 09:40:00

HortonworksWindowsHadoop

2013-06-26 10:06:26

2019-07-18 12:57:21

大数据互联网算法

2009-02-18 10:00:47

讯鸟呼叫中心

2021-05-19 15:30:56

人工智能AI远程视频

2016-11-07 10:54:58

戴尔存储

2012-05-03 15:16:52

移动支付应用内支付

2013-08-21 14:23:59

2015-09-17 00:18:48

锐捷网络/融合一体机

2016-02-26 00:10:48

2015-04-03 10:11:57

云计算实践云趋势
点赞
收藏

51CTO技术栈公众号