暗网犯罪分子攻击企业基础设施的三种主要方式

如何攻击企业基础设施已成为暗网论坛上最受欢迎的话题之一，占暗网论坛技术讨论帖子的12%。这意味着网络犯罪分子渴望获得对企业基础设施的控制权。

卡巴斯基安全服务分析主管尤利娅诺维科娃（Yuliya Novikova）表示，他们的动机纯粹是利益驱动的。

她说：“对于网络犯罪分子来说，最终目的是从获得的初始访问权限中获得尽可能多的利润。他们出售任何东西，从Web面板的有效凭据，用户及管理员的cookie认证信息，到远程命令执行漏洞的详细信息以及对已上传的Webshell后门的访问。”

她说，这些暗网里的恶意犯罪分子通常通过三种方式获得访问权限。

第一、利用漏洞，例如未修补的软件漏洞、错误配置的服务、0day攻击和Web应用程序中的已知漏洞。

第二，网络钓鱼，这是比较常见的，针对企业工作人员，通常是客服。

第三，通过使用数据窃取程序获取直接的访问凭证，如RDP。

诺维科娃解释说：“恶意软件感染用户设备并截取数据，这些数据被收集在日志中，，并在暗网论坛上公布，它们将被出售。恶意用户正在寻找几乎任何类型的数据来窃取。这包括支付和个人数据、域凭据、第三方服务凭据、社交网络帐户和授权令牌。”

她说，在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后，卡巴斯基发现75%的帖子通过远程桌面协议（(RDP）提供初始访问权限，每个帖子都具有不同的权限，从域管理员、本地管理员和普通用户权限。

诺维科娃说：“随着远程工作现在对许多公司来说已经成为现实，公司已经引入了RDP以使同一公司网络上的计算机能够连接在一起并远程访问，这一发现是一个值得关注的问题。”

卡巴斯基的研究表明，RDP攻击日益受到关注，突出了该安全公司认为全球范围内此类攻击的高命中率。

黑市对企业数据的需求很大。卡巴斯基的研究表明，对公司数据的大量初始访问基本是通过RDP提供的，这凸显了本地企业需要获得整个暗网的可见性，以丰富其威胁情报，特别是在采用远程或混合工作模式的地区。

诺维科娃说：“而且由于RDP访问的有效凭据是最常见的暗网产品，因此企业必须开始遵循最佳网络安全实践。”

她说，这包括使用可靠的密码，使所有远程管理界面只能通过VPN访问，以及对所有管理界面使用双重身份验证。