根据Searchlight Cyber的研究,银行业越来越多地成为暗网上出售初始访问权限的目标。
这家暗网情报公司还发现了内部人员在暗网上分享其组织信息或被网络犯罪分子招募的证据,以及威胁行为者对金融服务供应链进行基础设施侦察的证据。
但该公司在一项新研究中表示,这些隐藏在暗网上显而易见的威胁也给银行带来了巨大的机遇。
该公司表示:“当犯罪分子仍处于行动的‘攻击前’阶段时,暗网情报会提醒他们潜在的恶意活动;安全团队可以根据未来可能发生的情况来调整和改进他们的防御措施,而不仅仅是对过去发生的事情做出反应。”
这项研究基于Searchlight Cyber分析师使用2020年至今收集的暗网数据进行的调查。
初始访问经纪人以银行为目标
在暗网上观察到的针对银行业的绝大多数活动都包括初始访问经纪人的帖子,向第三方威胁行为者出售银行系统的访问权限。研究人员发现,暗网黑客论坛(例如Exploit、XSS和BreachForums)上宣传了各种不同类型的访问广告。
该公司表示:“对于安全团队来说,初始访问中介活动的数据可以成为攻击前情报的宝贵来源。”研究人员还观察到勒索软件团体与其中一些帖子进行互动。
银行安全团队和独立安全研究人员可以使用这些帖子来分析发布信息并与之交互的参与者的能力,并评估威胁级别。
在最初的访问中介帖子中,通过远程桌面协议(RDP)和虚拟专用网络(VPN)提供远程网络访问的帖子最为常见。利用特权帐户可能会导致在系统上部署恶意软件或勒索软件、控制操作基础设施、访问敏感数据库和文件存储,以及收集用于勒索受害者支付赎金的机密信息。
Searchlight Cyber还发现了几篇出售Webshell的帖子,这些Webshell可用于在受感染的系统中安装后门或获取远程代码执行(RCE)权限,一旦被利用,攻击者就可以让应用程序执行他们选择的代码,而不是执行应用程序应该做的事情。
暗网上的内部威胁活动
研究人员还观察到利用暗网的两个主要内部威胁。第一个是拥有组织系统访问权限的员工在暗网上发布广告,而第二个威胁行为者则试图在暗网上招募恶意内部人员。
Searchlight Cyber表示:“对于必须将具有特权访问权限的恶意内部人员视为其威胁模型一部分的安全团队来说,这些帖子确实为调查和减轻受感染员工的风险提供了一个宝贵的起点。”
该网络安全公司建议,安全团队还应该了解并监控使用Tor等工具访问暗网网络、与更广泛的网络犯罪黑社会进行通信或泄露数据的员工。“除了监控暗网论坛是否存在恶意内部人员之外,Tor和公司网络之间的流量也可以用作潜在内部威胁的预警信号。”它表示。
威胁行为者还利用暗网进行协作和规划攻击路径,对此进行监控可以提供阻止入侵行为的机会。
Searchlight Cyber表示:“这两种策略非常重要,因为它们是唯一关注网络被入侵之前的时间段的策略。”
银行和金融机构还应该监控暗网,以获取关键供应商的详细信息,因为这可以帮助他们识别何时成为威胁行为者的目标。
“例如,持续搜索员工凭证、IP地址、公司数据集、设备和软件,可以提醒企业注意针对其供应商的可疑活动,这些活动可能预示着潜在的攻击。”它说。