周二的一篇博客称,思科(Cisco)公司著名的Talos团队开发的三种技术旨在暴露属于勒索软件运营商的暗网网站的基础设施。
根据标题为“在暗网上对勒索软件域名进行去匿名化”的博客文章,这些方法能够提供对暗网网站的额外可见性——由于隐藏服务的性质,这项任务通常具有挑战性。
思科Talos高级威胁研究工程师Paul Eubanks在帖子中写道,这些技术提供了对勒索软件集团DarkAngels、Nokoyawa、Quantum和Snatch基础设施的新见解。
第一种方法涉及将威胁参与者的TLS证书序列号与在透明网络或公共互联网上索引的序列号进行匹配。第二个与第一个类似,但它将暗网中的浏览器图标(在浏览器栏中显示在网站URL旁边的图标)与公共网站相匹配。
第三种技术涉及利用“灾难性安全错误”和错误配置来降低匿名性。例如,Eubanks描述了Nokoyawa勒索软件运营商如何没有建立适当的文件权限,从而产生了目录遍历漏洞。
Eubanks称:“这些技术本身并不新鲜,但[它们]尚未应用于揭露勒索软件域。”
对于TLS证书方法,Eubanks在帖子中解释说,勒索软件网站通常不使用TLS证书,因为它们可用于识别目的。然而,在有些情况下,威胁者可能会在他们的暗网网站上保持一个证书,“以给受害者留下他们在安全环境中操作的印象,并在他们的操作中创造一种合法的感觉。”
在DarkAngels(据信是Babuk勒索软件集团的改名)的案例中,思科塔洛斯使用Shodan网络爬虫来追踪该团伙的暗网泄漏网站所使用的TLS证书,并追溯到其托管提供商。研究人员最终发现了私钥和一个操作员登录门户。Snatch的情况稍显复杂,但研究人员使用该方法将证书追溯到一个瑞典托管服务提供商。
研究人员使用favicon匹配方法对公共互联网进行索引,以追溯勒索软件团伙Quantum的暗网泄漏站点上的托管情况,并发现了与该团伙相关的其他域名。
SearchSecurity询问Eubanks为什么CiscoTalos决定公开这些技术,因为威胁参与者可能会努力纠正他们的错误。作为回应,他说在选择与其他捍卫者披露观察结果时“总是有一个平衡”。
“判断来自于防御者的价值与攻击者改变行为的成本,”Eubanks说。“归根结底,防守是一场团队游戏,在这种情况下,我们决定,告知团队比我们放弃的东西更有好处。当试图在全球范围内帮助防御者时,很少有简单的决定。”
思科Talos团队是世界上最大的商业威胁情报团队之一。Talos由世界一流的网络安全研究人员、分析师和工程师组成,在无与伦比的遥测技术的支持下,Talos保护思科客户免受已知和新出现的威胁,发现普通软件的新漏洞,并在威胁进一步危害整个互联网之前拦截野外威胁。