发表于：2020-07-20 作者：小二郎 来源：嘶吼网

背景

自工业革命以来，企业一直在追求更为精简的流程，以最大限度降低成本，提高生产率和利润。当然，这对于犯罪组织而言亦是如此。如今，自动化已经成为几乎所有行业必不可缺的组成部分。在网络安全领域，自动化的重要性尤为突出。随着可用数据的量级增长，使数据收集、处理和关联过程实现自动化，已经成为跟上威胁形势的必备条件。不幸的是，网络犯罪组织同样能够从自动化技术中获利。

过去，犯罪分子可能需要花费数周甚至数月的时间，来开发、测试和实施恶意软件，而现在这一切已经能够“开箱即用”。这就导致即便是那些菜鸟攻击者也可以毫不费力地参与和执行恶意活动。如今，威胁行为者可能不再需要“入侵”目标企业来获取最初的立足点，相反地，他们可以轻松地从恶意软件供应商处购买目标企业的访问权限，而无需花费大量时间手动分析这些数据库。

除此之外，威胁行为者还可以租用加载程序和加密程序，以帮助分发和混淆其恶意软件。他们可以从各种注入或叠加中进行选择，以渗透到网站并收集重要的登录信息或财务信息。或者，他们也可以租用现成的漏洞利用工具包，这些工具包已经打包好了所需的漏洞利用工具，只需要将选择的窃密器加载到受感染的设备上，就能够轻松收集所需的信息。

为了确保犯罪企业平稳运行，威胁行为者还可以选择“防弹”托管以及代理服务等等。为了将收集的信息最大程度货币化，而不甘于赚些块钱或做“钱骡”，他们还可以将信息出售给众多地下商店和自动化市场，如此实现循环往复。

可以说，地下经济中已经衍生出了涉及各层面的非常专业的服务和产品，网络犯罪活动也逐步实现了自动化和商品化。为了更为有效地应对这场战役，防御者必须以最新的信息武装自己。近日，网络安全公司Recorded Future分析了来自威胁情报平台、开放源情报源和公共报告的数据，概括出了网络犯罪分子最常用的10种自动化攻击工具和服务，并且还对每种工具近期的攻击动态、顶级供应商以及缓解措施进行了简要概述。

1. 数据库泄露和销售工具

许多网络攻击最初都始于从受损网络中获取到的凭据数据库，这些信息如今都在暗网论坛中出售或拍卖。甚至在某些情况下，这些数据库还在Pastebin等平台上免费发布。数据库破坏，是威胁行为者对网络进行未经授权访问的结果，访问本身可以为威胁行为者提供诸如特权提升和数据泄露之类的向量载体。此外，勒索软件运营商也可以使用该访问来加密受感染的网络;而黑客则可以利用钓鱼邮件来渗漏包含个人身份信息(PII)、个人健康信息(PHI)、公司文档、电子邮件地址、员工信息、社交媒体配置文件等信息在内的数据库。

通常来说，所有这些恶意事件都可以归类为数据库破坏或泄露的类别。

统计数据表明，数据库泄露的数量每年都在增加。根据Norton的数据显示，2019年有3,800项公开披露的违规行为，暴露了41亿条记录。在暗网中，威胁参与者之间可以出售或共享数据库漏洞，攻击者可以使用这些数据库中使用最频繁的用户名和密码组合来针对流行的在线服务和站点进行凭据填充攻击。

出售受害企业组织、政府、教育以及其他实体的网络访问权限可能是暗网上最赚钱的生意之一，其销售价格从几百美元到数十万美元不等。通常来说，网络访问权限是通过拍卖形式在暗网上出售的，在此过程中，论坛成员争相竞价，或者简单地通过固定价格进行直接销售。据悉，其中最热门的数据大多来自医疗机构、保险公司、律师事务所、制造业、航空(航空公司和机场)、教育、政府(州和市政府、警察局、地区医疗机构、选举委员会)、电子商业和金融组织。

(1) 出售和分享数据库的知名威胁行为者

• Xrenovi4：一个俄语和英语论坛，自2017年以来一直在运营cit0day[.]——一家致力于出售泄露的电子邮件数据库的在线商店。
• Teamkelvinsecteam：也叫KelvinSecTeam，运营一项基于订阅的服务，用于从其网站kelvinsecurity [.com.cn]上销售黑客工具、恶意软件和泄漏的数据库。在其网站上，他们还提供了种类繁多的泄露数据库，这些数据库主要与电子商务、电信以及受感染的暗网论坛有关。
• Omnipotent：运营着官方收藏的300多个数据库，每个论坛成员都可以付费使用。
• Streetskip：也称“network”，出售针对多家美国和国际公司网络的访问权限。
• bc.monster：出售针对美国和国际组织网络的访问权限，以及PII和被盗文件。
• B.Wanted：主要出售针对美国政府组织和执法机构网络的访问权限。
• Lalartu：俄语论坛，主要出售针对执法机构和律师事务所网络的访问权限
• Ellisdouglas，出售针对美国和国际政府实体以及俄罗斯、乌克兰、巴西和德国各种组织网络的管理员访问权限。

(2) 缓解措施

Insikt集团建议，企业组织可以采取以下措施来阻止利用网络漏洞所导致的数据库泄露事件：

• 确保所有软件和应用程序保持最新状态;特别是操作系统，防病毒软件，应用程序和核心系统实用程序;
• 过滤电子邮件中的垃圾邮件并仔细检查链接和附件，确保开启了恶意软件监测程序;
• 定期备份系统并离线存储备份;
• 严格区分公司敏感数据，尤其要查看有权访问员工帐户或设备的任何人都可以访问哪些数据(例如，通过网络钓鱼通过设备或帐户接管)。验证用户的访问控制，并确保员工具有访问资源的业务需求;
• 建立基于角色的访问，限制公司范围内的数据访问以及针对敏感数据的访问;
• 监视供应商的安全状态，或评估使用第三方技术可能导致的风险;
• 对存储的数据库应用数据加密标准，以防止能够未经授权访问组织内部网络的个人将其用于恶意目的;
• 监控员工帐户的可用数据库。

除此之外，商业电子邮件欺诈(BEC)也是与数据库漏洞和针对网络的访问密切相关的一种手段。这种方法通常采用社会工程和网络钓鱼技术，并试图通过受损的电子邮件账户伪装成企业合法雇员或管理人员，来危害企业。这种攻击行为的最终目标是窃取目标企业的机密信息或将资金转移到犯罪分子控制的账户之中。

根据FBI互联网犯罪投诉中心(IC3)提供的数据显示，BEC骗局正在持续增长，并且瞄准了各种规模的企业。自2015年1月以来，已识别的曝光损失增长了1300%，现在总损失已超过30亿美元。

(3) 缓解措施

FBI建议，采取以下步骤可以降低BEC攻击所带来的危害：

• 创建入侵检测系统规则，以标记扩展名类似于公司电子邮件的邮件;
• 创建电子邮件规则以标记“答复”电子邮件地址与所示的“发件人”电子邮件地址不同的电子邮件通信;
• 在主题中使用颜色编码和前置标签区分电子邮件，这将有助于识别来自员工/内部帐户的电子邮件和来自非员工或外部帐户的电子邮件;
• 通过SMS或身份验证器应用程序(例如Google Authenticator、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator)启用多因素身份验证(MFA)，以安全地访问设备;
• 将电话验证作为多因素身份验证的一部分，以确认资金转账请求;验证其他来源的号码，例如公司网站或以前的账单或信件，而不是电子邮件请求中提供的号码。

2. 检查器和暴力破解工具

攻击者通过数据泄露攻击获得账户后，可利用检查器和暴力破解器来发起大规模的自动登录请求，以检验受害者账户的有效性，或通过对数千个帐户的凭据填充攻击来获得未经授权的访问。这种类型的攻击也称为“凭据填充攻击”。

根据Recorded Future发布的《凭证填充攻击的经济性》报告显示，只需投入550美元，犯罪分子就可以通过出售被盗登录凭据获得至少20倍的利润。Akamai报告称，在过去的18个月中，它发现了超过35亿起针对金融机构的凭证填充请求。

检查器(Checkers)是网络犯罪分子使用的自动化工具(脚本或软件)，用于根据网站的登录系统检查用户ID和密码组合的有效性。检查员可以使用网站的主页、移动应用程序或应用程序界面(API)功能来识别有效帐户。

暴力破解是自动密码破解工具，也可以用于发现Web应用程序中的隐藏页面和内容。网络犯罪分子可以使用暴力手段通过自动服务器请求来访问机密信息和用户帐户。自动化的暴力破解工具，例如Brutus、Medusa、THC Hydra、Ncrack、John Ripper和Rainbow，可以帮助攻击者迅速猜测出特定用户或站点的密码。从数据转储中获得的部分信息(诸如用户名等)还使攻击者更容易使用暴力破解来获取密码。

检查器和暴力破解工具使网络犯罪分子可以自动进行攻击侦察阶段，并获取用户其他详细信息(例如可用地址、电子邮件和支付卡详细信息)或访问目标账户。在“网络杀伤链”模型中，侦察是网络攻击者用来收集有关其预定目标信息的第一步。

研究显示，如果受害者在多个在线平台上重复使用相同的登录信息，则这种攻击发生的概率会更大。根据南加州大学的研究指出，“密码重用的现象非常普遍，98%的用户存在重用密码现象，其主要原因在于对风险的认识不足以及将易于记忆置于安全性之上。”

(1) 近期重大事件

• 2020年1月，TechCrunch报道了印度航空公司SpiceJet的一次违规事件，影响了120万人次。据报道，通过使用系统容易猜到的密码，可以暴力破解并访问SpiceJet内部系统。
• 2020年1月，亚马逊旗下智能相机制造商Ring面临一项诉讼，据称，犯罪分子使用一系列普通密码来强行闯入一位用户的Ring摄像头帐户。
• 2019年7月，美国银行和保险公司State Farm表示，其遭受了凭证填充攻击，在此期间，恶意行为者能够确认State Farm在线帐户的有效用户名和密码。

(2) 知名的检查器和暴力破解工具

在暗网中，网络犯罪分子能够利用到的自动化、自定义和“开箱即用”的工具可谓成千上万。STORM、Black Bullet Account Cracker和Sentry MBA之类的工具支持无限数量的自定义插件，这就等于为犯罪分子提供了针对几乎所有网上零售业务并实现账户接管的能力。暗网中销售的其他工具还包括多合一检查器、Starjieu邮件检查器、Private Keeper、SNIPR、WOXY邮件检查器、Slayer Leecher和Kerbrute。还有一些针对单个公司(例如Netflix、Facebook、Instagram或Spotify)的鲜为人知的工具。

这些自动化工具可以帮助攻击者使用受损的用户名和密码，攻击包括银行、电子商务、会员或奖励计划、社交媒体和加密货币钱包在内的一系列帐户。一旦攻击者获得对帐户的访问权限，他们就会尝试耗尽可用资金，奖励积分，窃取个人和财务详细信息(例如信用卡数据)，或者进行欺诈或身份盗用。

(3) 知名的检查器和暴力破解工具卖家

• Bruteguru：是暴力破解和帐户检查器工具“Guru Brute B&C”的供应商，该工具主要针对流行的CMS面板，例如Magento、WordPress、Drupal、Joomla、OpenCart、Bitrix24、cPanel、WHM和WooCommerce：以及其他服务，例如FTP，SSH和MySQL。
• SaNX：主要出售可用于暴力破解帐户的API漏洞，并生成模拟官方程序登录的必要令牌。 据观察，该卖家为大约30家公司提供了“私有API”。
• Getsend：主要提供开发检查器和暴力破解工具方面的服务。

(4) 缓解措施

• 提高用户对每个帐户使用唯一密码的意识。密码管理器将帮助最终用户生成、存储和检索唯一且复杂的密码;
• 在登录过程中要求提供其他详细信息(例如，CAPTCHA或用户的姓氏)，以在自动凭据填充攻击中破坏攻击者的编程逻辑;
• 启用多因素身份验证(MFA);
• 部署定制的Web应用程序防火墙规则，特别注意异常的标头顺序和用户代理，以及检查有效的引荐来源;
• 限制登录流量和频次以阻止攻击者。例如，在一定数量的失败登录尝试后锁定账户，或者在服务器对登录请求的响应中引入延迟;
• 删除未使用的面向公众的登录路径，并加强对移动设备和API登录路径的控制;
• 为流量和网络请求建立基准，以监视意外流量。

3. 加载程序和加密程序

一旦威胁行为者确定了目标，他们的下一步通常就是将恶意负载(例如恶意软件)传递到目标系统或设备中。由于许多目标系统或设备受到防病毒软件的某种程度的保护，这些软件可能会识别、标记或阻止恶意有效负载，因此威胁行为者通常会在初始感染过程中使用特殊工具(例如加载程序和加密程序)作为初始感染的一部分，来避免被端点安全产品(例如防病毒软件)检测到，然后下载并执行一个或多个恶意有效载荷(例如恶意软件)。

(1) 加载程序

加载程序通常包含一组有限的功能集。它们通常负责调查受害者的计算机，使用命令和控制(C2)服务器进行检入，然后下载并执行更高级的恶意软件。此过程的确切细节因加载程序而异，但最基本的加载程序可能会将最终的有效内容保存到受害者的文件系统中，然后将其作为新进程运行。最先进的加载程序会将下载的有效负载完全保留在内存中，并使用诸如“process hollowing”或反射DLL注入之类的过程注入技术来执行它。通过将有效负载保存在内存中，加载程序会减少安全产品检测最终有效负载的机会。

(2) 知名的加载程序

• Amadey：威胁行为者InCrease出售的一种加载程序，具有基本的上传、下载和自动运行功能，售价600美元;
• DiamondFox：威胁行为者edbitss出售的一款多功能加载程序，具有可选的自定义模块，例如RAM抓取工具、勒索软件、cryptojacker和一些窃取器功能，包括浏览器密码和cookie抓取。DiamondFox基本版本的价格低至600美元，而所有附加模块的价格高达2700美元。
• Buer Loader：威胁行为者memeos出售的一款基础版加载程序，可以作为DLL或EXE文件执行，检测沙箱环境，以用户权限运行以及可以选择要感染的国家和操作系统。售价400美元，可为买家提供终身免费的技术支持、更新和错误修复服务。
• Smoke Bot：威胁行为者SmokeLdr出售的一款多功能加载程序，具有可选的自定义模块，例如表单获取器，密码窃取程序和DDoS功能。基本版本的Smoke Bot成本低至400美元，而所有附加模块的成本高达2,450美元。

(3) 加密程序和非分布式扫描程序

对于参与传播恶意软件的威胁参与者而言，加密程序和非分布式扫描程序是两项基本服务。加密服务用于加密和混淆恶意软件有效载荷，以避免被防病毒软件检测到。加密程序的某些功能包括：压缩可执行文件以减小可交付内容的大小，通过虚拟机检测逃避沙箱，并伪装成普通软件。然后，可使用非分布式扫描程序来检查是否有加密的恶意软件被任何防病毒软件检测到。

随着攻击面的持续增加，越来越多的威胁行为者正在使用创新的攻击媒介来部署新的恶意软件变体。一些威胁行为者不具备专业的技术知识，这就需要更多技术威胁行为者的专业知识来帮助部署恶意软件。因此，加密程序开发者可以创建旨在供技术水平各异的威胁行为者使用的产品。这些加密程序通常是用户友好型的，并提供了一个简单的界面，其中包括配置所有选项的GUI，包括加密方法、密钥以及有效载荷注入的位置等等。一旦威胁行为者选择了加密程序并上传了必要的信息，加密程序就会将恶意有效载荷加密为有效的编程代码;随后，威胁行为者就可以通过网络钓鱼或垃圾邮件向受害者提供该程序;程序执行后，加密程序会自行解密并释放恶意负载。

(4) 知名的加密程序和非分布式服务

• Kerens：运行非分布式服务avcheck[.]net和加密服务crypt[.]guru;
• p1t：运行加密服务KleenScan;
• Dyncheck：运行非分布式服务Dynamic Runtime Antivirus Check。

(5) 缓解措施

• 鉴于有大量的定制加密工具(以及教程和操作指南)可以通过开源和加密工具开发者轻松地向公众公开，而加密工具的开发者将继续生产具有增强功能的加密工具来击败防病毒措施，因此需要定期更新防病毒软件;
• 部署除防病毒之外的其他响应和检测控制措施，以检测恶意负载，例如网络入侵检测系统(IDS)、端点监视、netflow收集、主机日志记录和Web代理，以及人工监视检测源;
• 对网络钓鱼和相关风险进行培训和教育，因为这是部署恶意软件的切入口。

4. 窃密程序和键盘记录器

窃密器是网络犯罪分子中另一种流行的工具，用于从受害者处窃取敏感信息。这些恶意软件通常被预先配置为“从流行的在线服务、电子邮件客户端和文件管理软件以及其他有价值的资产(如加密货币钱包)中窃取各种各样的登录凭据”。窃密器的创建者通常会不断提供软件更新和客户支持服务，以确保恶意软件能够正常运行。这种类型的恶意软件实质上就像远程访问木马一样，它使攻击者能够远程交互并控制受感染的计算机或蜂窝设备。

(1) 知名的窃密程序

• Raccoon Stealer：由黑客组织raccoonstealer出售，是暗网最受欢迎的窃密程序之一，可以窃取电子邮件、密码、信用卡数据和加密货币钱包以及系统信息。该盗密程序在俄语论坛上大肆宣传，并被认为是由俄语威胁者控制的。
• KPOT：以从受害者主机的网络浏览器、即时通讯程序、电子邮件、加密货币和VPN中窃取数据而闻名。该程序由黑客组织“MonsterCat”开发和销售，其实际是一种可配置的远程访问木马，能够从各种系统应用程序中窃取凭据，包括VPN、电子邮件、RDP、加密货币钱包、FTP和社交媒体应用程序。
• Predator the Thie：由威胁行为者Alexuiop1337创建，可以从Edge、基于Chromium和基于Gecko的浏览器中窃取Cookie、用户名和密码。Predator可以从FTP客户端、聊天应用程序、VPN客户端或加密货币钱包中窃取登录凭据，还可以收集受害者系统信息。
• AZORult：是一种信息窃密工具，可以从多个软件应用程序中窃取凭据，从桌面枚举和窃取文件，从浏览器捕获保存的数据(包括cookie、密码和已保存的信用卡信息)，窃取Skype登录凭据以及窃取加密货币钱包信息。

(2) 缓解措施

• 投资提供补丁状态报告的解决方案，这种类型的解决方案可以洞悉已收到补救措施的漏洞以及已收到这些补丁的计算机;
• 配置入侵检测系统(IDS)、入侵防御系统(IPS)或任何可用的网络防御机制，以警告设备上发生的任何恶意活动;
• 监视文件驱动器和注册表的可疑更改。

5. 银行web 注入

银行web 注入是执行欺诈行为的一种流行且功能强大的工具，并且在暗网中广为流传。这些工具或模块可以与银行木马一起使用，在用户被重定向到合法网站之前，通过注入HTML或JavaScript代码收集敏感信息，例如支付卡数据、社会安全号码、PIN、信用卡验证码或其他任何PII。

银行web 注入是浏览器中间人攻击(Man-in-the-Browser，MitB)的一部分，其中，银行木马可以通过执行API hooking实时修改合法银行页面的内容。这些修改后的受损内容位于Web注入配置文件中，该文件通常托管在远程命令和控制(C2)服务器上，并下载到受感染的计算机或设备上。攻击者可以自动更新服务器和受感染机器上的配置文件。网络罪犯分子还会加密和混淆配置文件，以逃避防病毒软件的检测，并使分析更加困难。

分析表明，银行web 注入目前已与多个银行木马集成在一起，既可以破坏用户的银行帐户，也可以使用自动转帐系统(ATS)来自动窃取资金。这些银行木马包括Cerberus、Anubis、Mazar、ExoBot和Loki Bot。一些Web注入还可以成功绕过双因素身份验证(2FA)。而与银行木马集成的Web注入还具有控制面板，并且可以完全控制用户计算机。

针对暗网市场的分析表明，一些银行web 注入开发者针对不同受众分别提供了“现货供应型”注入以及为每个客户量身打造的“定制型”注入。这些产品的价格普遍较高，可能高达1000美元，平均价格为150-250美元。

(1) 知名威胁行为者

Validolik：该威胁参与者是多个顶级俄语论坛的成员，是Android web注入的领先开发商之一;

Pw0ned：地下犯罪论坛上的一位俄罗斯黑客，是银行web注入以及流行社交媒体(如Instagram和VKontakte)和电子邮件服务提供商(如Gmail，AOL和Yandex)伪造页面开发者;

Kaktys1010：多个顶级俄语论坛的成员，是Windows和Android web注入以及具有/不具有SMS /令牌拦截功能的伪造页面的开发人员。该威胁行为者运营洋葱网站KTS，销售上述产品。

(2) 缓解措施

• 使软件和应用程序保持最新状态，特别是操作系统、防病毒软件、应用程序和核心系统实用程序;
• 在所有设备上安装防病毒解决方案，安排更新并监视防病毒状态;
• 通过SMS或Google、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator等身份验证程序启用MFA多因素认证;
• 仅使用HTTPS连接web服务;
• 教育员工并进行安全意识培训;
• 部署垃圾邮件过滤器，以检测病毒、空白发件人等;
• 部署Web过滤器，以阻止恶意网站;
• 加密公司所有敏感信息;
• 禁用HTML或将HTML电子邮件转换为纯文本电子邮件;
• 仅从可信来源下载应用程序和文件;
• 使用密码管理器。大多数银行木马都可以记录击键信息，通过使用密码管理器填写密码，您可以避免物理上输入凭据;
• 将您计算机上银行的登录屏幕与其他人的相同登录屏幕进行比较，以确保他们的外观相同。

6. 漏洞利用工具包(EK)

漏洞利用工具包用于自动利用Web浏览器漏洞，以最大程度地传播感染，并提供诸如木马、装载程序、勒索软件和其他恶意软件之类的恶意负载。Insikt集团在过去几年中观察到的常见漏洞利用工具包包括FalloutEK和RIG EK。

不过，研究发现，新的漏洞利用工具包的创建数量有所下降。除此之外，在过去的几年中，网络犯罪分子的偏好也从针对Adobe漏洞的漏洞利用工具包转向了Microsoft消费产品漏洞利用工具包。2017年，排名前10的漏洞利用工具包中有7款是针对Microsoft产品开发的，这与之前的排名(2015年、2016年)形成了鲜明对比，之前一直在利用Adobe Flash漏洞。

缓解措施：

• 优先修补技术产品中微软产品和较旧漏洞的补丁;
• 确保在浏览器设置中自动禁用Adobe Flash Player，此外，由于Adobe将于2020年12月31日终止对Flash Player的支持，因此不建议下载或继续使用此产品;
• 不要忘记修补较旧的漏洞——漏洞平均可以存活近7年;
• 开展并长期坚持网络钓鱼安全意识培训，这可以包含用户培训，以教育用户不要轻易点击可疑链接或附件。

7. 垃圾和钓鱼邮件

垃圾邮件和网络钓鱼邮件(包括鱼叉式网络钓鱼)通常结伴出现，但实际上，它们是两种非常不同的手段。

(1) 垃圾邮件

发布垃圾邮件的威胁行为者通常会以“广撒网”的方式，不加选择地瞄准成千上万个受害者。垃圾邮件主题通常涉及在线药房、色情、约会、赌博、快速致富计划等，内含恶作剧、恶意链接以及病毒等等。

垃圾邮件发送者通常可以通过以下方法获取电子邮件信息：

• 使用自动化软件生成地址;
• 诱使人们在欺诈性网站上输入其详细信息;
• 入侵合法网站以收集用户的详细信息;
• 从其他垃圾邮件发送者处购买电子邮件列表;
• 诱使人们点击进入冒充垃圾邮件取消服务的欺诈网站;
• 抄送行中的名称/地址，或已转发的电子邮件正文中未删除先前参与者的名称/地址。

(2) 从事垃圾邮件活动的威胁行为者

588771：是一个俄语犯罪组织，他们专门提供针对SMS、电子邮件、Skype、Telegram和社交网络的专业垃圾邮件服务。据悉，588771组织的服务价格已经从最初的1,000条SMS消息/美元起，飙升到了现在的10,000条SMS消息1,000美元，有英语和俄语两种版本。

Stone：同样也是一个俄语犯罪组织，正在以2000美元的价格出售垃圾电子邮件机器人。stone声称，这些机器人可以随机化电子邮件主题、文本以及附件名称等等。

(3) 缓解措施

• 避免公开发布您的电子邮件地址，包括在社交媒体上;
• 不要回复垃圾邮件，那样只会证明你的电子邮箱账户有效;
• 下载安装额外的垃圾邮件过滤工具和防病毒软件;
• 在线注册时避免使用个人或公司电子邮件地址。

(4) 网络钓鱼电子邮件

网络钓鱼通常与垃圾邮件类似，犯罪分子会向数以千计的受害者发送电子邮件。但是，网络钓鱼攻击经常使用社社会工程手段，将自身伪装成来自受信任或其他合法实体的电子邮件。

其中，直接发送给特定受害者的电子邮件，特别是给杰出人物的电子邮件，被称为“鱼叉式钓鱼”。鱼叉式钓鱼不太可能出自自动化工具，因为这种类型的邮件通常是针对特定目标量身定制的个性化电子邮件。网络钓鱼电子邮件一般会伪装成从银行、信用卡公司、在线商店和拍卖网站以及其他受信任的组织发送的。他们通常试图诱使受害者进入该网站，例如要求受害者更新密码以避免帐户被暂停，或是要求受害者下载附件中的重要文档。电子邮件本身的嵌入式链接指向的网站看上去与真实的网站完全一样，但实际上是一个伪造的网站，旨在诱骗受害者输入个人信息或下载恶意文件。

对于网络犯罪分子而言，网络钓鱼依然是其进行社会工程攻击、部署恶意软件并获取对目标企业进一步访问权限的最受欢迎的攻击媒介之一。

(5) 网络钓鱼活动恶意行为者

Poseidon：是一个英语语言犯罪组织，专门从事创建和销售网络钓鱼工具、财务欺诈文档和方法，以及有关进行欺诈活动的入门指南等。此外，Poseidon还能够对网站进行DDoS攻击，并且精通图形设计，该威胁组织曾利用图形设计能力伪造加拿大身份证件并创建针对金融机构的网络钓鱼页面。

Frod：是一个俄语犯罪组织，除了分发垃圾邮件、恶意软件、僵尸网络和欺骗活动外，他们还为网络钓鱼活动宣传“防弹”托管服务。frod主机的价格在75-200美元之间，具体取决于买方的要求。

(6) 缓解措施

• 对员工进行教育，并进行网络钓鱼模拟;
• 部署垃圾邮件过滤器，用于检测网络钓鱼的迹象;
• 使用最新的安全补丁程序和更新使所有系统保持最新;
• 制定密码安全策略;
• 部署Web过滤器以阻止恶意网站;要求所有员工(尤其是远程工作人员)落实加密措施，包括全盘加密(例如256位AES)和通过SSL或TLS的网络加密。

8. “防弹”托管服务(BPHS)

为了延长犯罪企业的寿命，威胁行为者会利用代理和防弹托管服务(BPHS)来掩盖其活动并组织其被执法机构抓捕。BPHS与“常规”的网络托管服务提供商提供的服务之间最大的区别之一是，它们依靠一种模型保证向恶意内容和活动提供匿名安全托管，并承诺不会因司法请求而中断犯罪活动或导致攻击者被捕。

(1) 知名卖家/服务

EliteVPS：是一家托管公司，至少从2017年2月开始就一直在地下论坛上积极宣传其服务。和其他同类服务不同的是，与它们业务相关的服务条款声称，将禁止发布与暴力侵害儿童和动物有关的数据。Yalishanda：是一名地下黑市威胁行为者，自2018年12月以来就一直在Exploit和其他多个俄语论坛上做过托管服务的广告。其使用FastFlux技术，且拥有自己的代理服务器，该代理服务器依赖KVM和XEN虚拟化。(*关于FastFlux——在正常的DNS服务器中，用户对同一个域名做DNS查询，在较长的一段时间内，无论查询多少次返回的结果基本上是不会改变的。Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术，也就是说在短时间内查询使用Fast-flux技术部署的域名，会得到不同的结果。)

(2) 缓解措施

• 利用威胁情报平台来协助监视恶意服务提供商;
• 将与恶意BPHS关联的服务器列入黑名单。

9. 信用卡嗅探器

在暗网经济中，嗅探器(Sniffer)指的是一种用JavaScript编写的恶意软件，旨在从电子商务网站的支付页面渗透并窃取无卡交易(CNP)数据。然后，可以使用此CNP数据(称为“CVV”)在线购买有价和/或高需求的商品以进行转售。 一旦威胁行为者确定了可被嗅探器利用的漏洞，他们便注入恶意JavaScript，该JavaScript能够自动捕获访问受感染站点的所有客户的数据，从而自动收集众多支付卡和顾客个人信息。然后，嗅探器将已泄露的数据转发给威胁参与者的C2，以供进一步利用。

(1) 知名的嗅探器开发商和供应商

• Sochi：该威胁行为者是JavaScript嗅探器“Inter”和Android木马“ Red Alert”的创建者。Inter的部分属性包括，窃取CNP付款数据，不干扰或断开SSL连接，检测付款形式和卡类型，逃避防病毒软件检测。Poter：该威胁行为者是俄语语言者，根据广告宣传，其嗅探器能够在打开浏览器时重置活动，在检索到新的受损数据时进行更新，并自动搜索受到破坏的商店。
• Billar：该威胁行为者是俄语语言者，专门为嗅探器变体“mr.SNIFFA”宣传，并对其进行持续开发利用。Roshen：该威胁行为者是俄语语言者，自2018年8月以来一直在Exploit上广告不知名但定制的嗅探器。据称，该嗅探器能够提供添加/删除用户，限制某些用户，格式化导出数据以及数据的地图视图等服务。

(2) 缓解措施

• 对网站进行定期审核，以识别可疑脚本或网络行为;
• 防止任何不必要的外部脚本加载到支付页面上;
• 评估电子商务网站上的第三方插件并监视其代码或行为的更改。

(3) 自动化网络黑市

网络犯罪分子面临的最大挑战之一，一直是如何将他们获取的内容货币化。最初，许多交易是当面进行，或是在论坛和死人聊天服务上进行的。但是随着盗窃规模的逐渐扩大，攻击者便开始通过在线信用卡商店、帐户商店和暗网市场中出售被盗数据。如此一来，负责盗窃的攻击者不用再担心找不到买家的情况，他们可以直接将偷来的内容出售给黑市，一次性获取销售利润。

反过来，像Slilpp、Joker’s Stash和Genesis Store这样的市场也使其他人更容易进入地下经济。在Joker’s Stash这样的商店中，个人不再需要掌握信用卡欺诈的技术技能。犯罪分子可以按照商店提供的简单说明下载插件，存入几百美元，购买几张信用卡，然后开始进行在线购买。在某些情况下，甚至可以在同一家商店中获得持卡人的PII，这使得进行欺诈交易变得更加容易。

一些商店还会出售威胁行为者获取到的各种账户的凭据，包括银行帐户、手机帐户、在线商店账户、约会帐户以及其他各种有助于实施在线欺诈的账户。此外，威胁参与者甚至可以获取受感染系统的“数字指纹”，以帮助他们伪装成受害者设备，从而绕过合法公司实施的反欺诈措施。

还需要注意的一点是，一些商店不仅为受客户端访问的域出售凭证，而且还为受侵害的系统和设备的企业域和VPN出售凭证。这可能尤为危险，因为更复杂的威胁参与者可以使用从员工那里获得的凭据来访问企业内部系统和网络，以执行社会工程、商业电子邮件欺诈，访问升级和其他类型的攻击。

(4) 缓解措施

商店，市场的类型以及要出售的帐户种类繁多，因此很难提出“一刀切”的缓解策略。不过，至少可以采取下述策略进行缓解：

• 监视商店和市场中与您企业相关的帐户;
• 对商店中可用帐户数量激增做出及时反应，因为这可能表明威胁行为者已违反或实施了新的TTP;
• 留意面向非公开域的账户泄露，因为它可用于促进进一步的违规行为;
• 通过SMS或Google身份验证器、Duo Mobile、FreeOTP、Authy或Microsoft Authenticator等身份验证器应用程序启用MFA。