网络安全研究人员详细介绍了勒索软件参与者为在线掩盖其真实身份而采取的各种措施,以及其Web服务器基础设施的托管位置。
“大多数勒索软件运营商使用其原籍国以外的托管服务提供商(如瑞典,德国和新加坡)来托管其勒索软件操作网站,”思科Talos研究员PaulEubanks说。“他们使用VPS跳跃点作为代理,以便在连接到勒索软件Web基础设施以执行远程管理任务时隐藏其真实位置。
同样突出的是使用TOR网络和DNS代理注册服务为其非法操作提供额外的匿名层。
但是,通过利用威胁参与者的操作安全失误和其他技术,这家网络安全公司上周披露,它能够识别托管在公共IP地址上的TOR隐藏服务,其中一些是以前与DarkAngels,Snatch,Quantum和Nokoyawa勒索软件组相关的未知基础设施。
虽然众所周知,勒索软件组织依靠暗网来隐藏其非法活动,从泄露被盗数据到与受害者谈判付款,但Talos透露,它能够识别“托管与暗网上相同的威胁行为者基础设施的公共IP地址”。
“我们用来识别公共互联网IP的方法涉及将威胁参与者的[自签名]TLS证书序列号和页面元素与公共互联网上索引的序列号和页面元素相匹配,”Eubanks说。
除了TLS证书匹配之外,用于发现对手清晰Web基础架构的第二种方法需要使用像Shodan这样的Web爬虫来检查与暗网网站相关的网站图标与公共互联网。
在Nokoyawa的案例中,今年早些时候出现了一种新的Windows勒索软件,与Karma有很大的代码相似性,在TOR隐藏服务上托管的网站被发现隐藏着一个目录遍历缺陷,使研究人员能够访问用于捕获用户登录的“/var/log/auth.log”文件。
调查结果显示,不仅犯罪分子的泄漏站点可供互联网上的任何用户访问,其他基础设施组件(包括识别服务器数据)也暴露在外,从而有效地使得获取用于管理勒索软件服务器的登录位置成为可能。
对成功登录的根用户登录的进一步分析显示,它们来自两个IP地址5..29[。]12和..0[.],前者属于GHOSTnetGmbH,这是一家提供虚拟专用服务器(VPS)服务的托管提供商。
"..0[.]然而,属于AS,它列在TyatkovaOksanaValerievna的名字下,“Eubanks指出。“运营商可能忘记使用基于德国的VPS进行混淆,并直接从其真实位置..0[)登录到与此Web服务器的会话。."
LockBit在其改进的RaaS操作中添加了一个错误赏金程序这一发展伴随着新兴的BlackBasta勒索软件的运营商通过使用QakBot进行初始访问和横向移动来扩展其攻击库,并利用PrintNightmare漏洞(CVE--)进行特权文件操作。
更重要的是,LockBit勒索软件团伙上周宣布发布LockBit3.0,并发布消息“MakeRansomwareGreatAgain!”,此外还推出了自己的BugBounty计划,提供1,美元至万美元的奖励,用于识别安全漏洞和改进其软件的“绝妙想法”。
“LockBit3.0的发布以及漏洞赏金计划的引入是对网络犯罪分子的正式邀请,以帮助该组织寻求保持在顶端,”Tenable高级员工研究工程师SatnamNarang在与TheHackerNews分享的一份声明中说。
“漏洞赏金计划的一个关键重点是防御措施:防止安全研究人员和执法部门在其泄漏站点或勒索软件中发现漏洞,确定包括联盟计划老板在内的成员可以被doxed的方式,以及发现该组用于内部通信的消息软件和Tor网络本身中的错误。
“被欺骗或被识别的威胁表明,执法工作显然是像LockBit这样的团体的一个重大问题。最后,该小组计划提供Zcash作为支付选项,这很重要,因为Zcash比比特币更难追踪,这使得研究人员更难密切
转载请注明:http://www.0431gb208.com/sjszyzl/843.html