国外VPS主机测评
每年都会在众多公司发生重大数据泄露事件,包括 2022 年的 Medibank 和 Optus 数据泄露事件、Twitter 数据泄露事件以及 Uber 和 Rockstar 数据泄露事件都在发生。 2023 T 数据泄露事件发生在 Mobile、MailChimp 和 OpenAI。 2022年,卡巴斯基列出了来自全球不同行业的700家公司,并搜索暗网,试图分析这些公司受到攻击的可能性有多大。
调查显示,暗网帖子涉及受损帐户、出售内部数据库和文档以及访问公司基础设施。 虽然暗网实际上促进了银行卡信息、驾照、身份证照片等各类数据的出售,但本文将专门关注与企业相关的信息。 研究发现,700家公司中有223家在暗网上被提及,而且泄露数据的主题各不相同。
按行业分布
这意味着有三分之一的公司是相关的。 与数据和访问相关的暗网帖子被引用,即使是网络安全成熟度很高的公司也无法避免黑客的攻击。
本文列出了 2022 年 1 月至 2023 年 11 月期间参与销售、购买或免费分发受感染帐户的所有黑暗帐户。提供在线帖子的统计概览。
数据泄露
数据泄露可能会暴露敏感信息并导致严重问题。 最常见的例子是数据库和内部文档;每个具有一定规模的公司都会使用敏感数据,因此泄露可能会影响公司、其员工和客户。
每月大约有 1,700 个与销售、分发和购买泄密相关的新帖子出现在暗网上。数据。
2022 年 1 月至 2023 年 11 月期间与数据库销售/购买相关的消息数量
请请注意,并非所有消息都代表最近的泄漏,并且某些消息是重复的,从而促进了相同的泄漏。
组合引号的示例
另一种常见的侵权类型是收集公共信息。 来自流行社交网络的姓名、个人资料、ID 和电子邮件的数据数据库。 这些是开发攻击的宝贵信息来源。 2021 年,超过 7 亿 LinkedIn 用户和超过 5.33 亿 Facebook 用户的个人信息被捕获并发布在暗网上。
泄露的 LinkedIn 数据库分发示例
基础设施访问
网络攻击者用于初始访问和攻击公司基础设施的最常见操作是:
1. 利用软件漏洞。 示例包括对企业 Web 资源的攻击、利用网站组件的全天漏洞、SQL 注入以及访问易受攻击的 Web 应用程序控制面板。
2. 获取企业证书。 例如,使用从日志或密码挖掘中窃取的数据。
3. 针对员工的网络钓鱼攻击。 例如,包含恶意负载的电子邮件。
应特别提及如何窃取合法帐户。 这些存在于受感染的设备上其中的恶意程序会收集各种帐户和支付数据、cookie 文件、身份验证令牌等,并将它们存储在日志中。 网络攻击者扫描这些日志以查找可用于获利的数据。 有些人正在寻找信用卡数据,另一些人正在寻找域名帐户、社交网络帐户等等。 他们称此阶段为处理。 编译日志后,他们在论坛上公开交换结果或将其出售给个人买家。
有关漏洞(例如 SQL 注入)和合法凭据(例如 RDP/SSH)的信息。 利润丰厚的公司由于提供的概率不同,因此定价差异很大。 成功攻击的次数。 出售帐户来访问远程管理接口(RDP、SSH)意味着您已经获得了对公司网络基础设施系统的访问权限,但漏洞只是需要类似级别的访问权限而已,它只是提供了实现的机会。
即使对于同一问题,例如 SQL 注入,也有许多因素会影响攻击的潜在发展,包括攻击的位置。 易受攻击的主机(例如企业网络或云服务器)、预期的利用技术、数据库容量等。 基础设施接入如此受欢迎的原因很简单。 高级攻击通常由几个阶段组成,包括侦察和对基础设施的初始访问。 、获得对目标系统的访问权限,或获得特权访问权限,以及实际的恶意行为(例如盗窃、破坏或加密数据)。 不同的阶段需要不同的专业知识,因此网络攻击者通常拥有专门知识,而那些容易获得的人在部署攻击时可能会面临困难。 在这种情况下,购买初始访问权限可以简化攻击,并且对于经验丰富的网络犯罪分子来说更具成本效益。
对于希望降低与销售基础设施访问相关的风险的公司来说,第一个挑战是了解销售。 与其他类型的数据相比,这种数据类型的最大区别在于,网络攻击者不喜欢在消息中提及公司名称,因为担心失去访问权限;即使您这样做,社区也会向您提供建议。 不要分享不必要的信息。
在待售帖子上发表评论
在这种情况下,我如何跟踪此威胁?网络攻击者通常会发送消息(位置、行业) 、公司规模、年收入等)
与公司的论坛消息示例 属性
2022 年,研究人员发现了大约 3,000 个独立的基础设施项目,到 2023 年 11 月,公司通常会发现基础设施受到企业 VPN 服务的损害,包括内部网络中的帐户和一些服务器或主机(通常通过 RDP 或 Web shell 访问)。
2022 年 1 月至 2023 年 11 月提供基础设施访问权限的消息数量
我的帐户被盗
另一类数据是初始访问,即基于下一个帐户 3 的实际发现的受感染帐户。
1. 网络威胁团体之间自由传播的公开秘密。
2.在黑客论坛和私人聊天中出售的有限访问权限有时只是包含未经验证信息的小型数据库。
3. 由于 REDLINE 和 VIDAR 等信息窃取者通过论坛上发布的恶意软件日志暴露了用户帐户,这些凭据现在可以通过恶意软件即服务提供给网络犯罪社区。轻松访问。
乍一看,网络攻击者没有理由免费共享凭据。 但是,如果您不再需要这些数据并希望增加您在特定暗网论坛上的网络犯罪社区中的影响力,您仍然可以这样做。 此外,他们可能会发布包含受感染帐户的恶意软件日志文件以供后续销售。
这三种类型的证书泄露都对公司构成威胁,一些员工无视禁令,使用公司电子邮件地址并在第三方网站上注册。 企业员工通常对外部服务和企业资源使用相同的密码,从而使网络攻击者能够未经授权访问企业基础设施。
评论前必须登录!
注册