暗网犯罪分子攻击企业基础设施的三种主要方式

在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后,卡巴斯基发现75%的帖子通过远程桌面协议(RDP)提供初始访问权限,每个帖子都具有不同的权限,从域管理员、本地管理员和普通用户权限。

暗网犯罪分子攻击企业基础设施的三种主要方式

如何攻击企业基础设施已成为暗网论坛上最受欢迎的话题之一,占暗网论坛技术讨论帖子的12%。这意味着网络犯罪分子渴望获得对企业基础设施的控制权。

卡巴斯基安全服务分析主管尤利娅诺维科娃(Yuliya Novikova)表示,他们的动机纯粹是利益驱动的。

她说:“对于网络犯罪分子来说,最终目的是从获得的初始访问权限中获得尽可能多的利润。他们出售任何东西,从Web面板的有效凭据,用户及管理员的cookie认证信息,到远程命令执行漏洞的详细信息以及对已上传的Webshell后门的访问。”

她说,这些暗网里的恶意犯罪分子通常通过三种方式获得访问权限。

第一、利用漏洞,例如未修补的软件漏洞、错误配置的服务、0day攻击和Web应用程序中的已知漏洞。

第二,网络钓鱼,这是比较常见的,针对企业工作人员,通常是客服。

第三,通过使用数据窃取程序获取直接的访问凭证,如RDP。

诺维科娃解释说:“恶意软件感染用户设备并截取数据,这些数据被收集在日志中,,并在暗网论坛上公布,它们将被出售。恶意用户正在寻找几乎任何类型的数据来窃取。这包括支付和个人数据、域凭据、第三方服务凭据、社交网络帐户和授权令牌。”

她说,在分析了暗网上近200个提供对企业数据的初始访问权限的帖子后,卡巴斯基发现75%的帖子通过远程桌面协议((RDP)提供初始访问权限,每个帖子都具有不同的权限,从域管理员、本地管理员和普通用户权限。

诺维科娃说:“随着远程工作现在对许多公司来说已经成为现实,公司已经引入了RDP以使同一公司网络上的计算机能够连接在一起并远程访问,这一发现是一个值得关注的问题。”

卡巴斯基的研究表明,RDP攻击日益受到关注,突出了该安全公司认为全球范围内此类攻击的高命中率。

黑市对企业数据的需求很大。卡巴斯基的研究表明,对公司数据的大量初始访问基本是通过RDP提供的,这凸显了本地企业需要获得整个暗网的可见性,以丰富其威胁情报,特别是在采用远程或混合工作模式的地区。

诺维科娃说:“而且由于RDP访问的有效凭据是最常见的暗网产品,因此企业必须开始遵循最佳网络安全实践。”

她说,这包括使用可靠的密码,使所有远程管理界面只能通过VPN访问,以及对所有管理界面使用双重身份验证。

原创文章,作者:admin,如若转载,请注明出处:https://www.anwangxia.com/1977.html

Leave a Reply

Your email address will not be published.