暗网市场正在以不到1000美元的价格出售企业网络的初始访问权限

网络安全公司Rapid7的研究显示，暗网上正在出售企业网络访问权，卖家是初始访问经纪人（IAB），他们在地下市场上出售初始访问权限（IAV）。IAB通常是最有经验的黑客。买家可能是技术不太熟练的黑客，他们难以获得真正的访问权限，也可能是技术熟练的黑客，他们希望节省时间直接开展业务。关键在于：网络犯罪是一门生意。

对网络犯罪分子买卖企业网络访问权限的非法暗网市场进行的新分析揭示了如何出售被控制的企业初始访问权限（通常价格不到1000美元），以及防御者可以采取哪些措施在早期阶段阻止这一过程。

Rapid7的威胁情报研究人员分析了数百条由初始访问经纪人（IAB）发布的帖子，这些帖子提供了对各行各业和地区的企业受感染网络的访问权限。他们的研究结果表明，“初始”访问权限并不一定等同于最低限度的访问权限；在许多情况下，这种访问权限代表着深度入侵。

Rapid7的研究人员分析了2024年7月1日至2024年12月31日期间三大论坛（XSS、BreachForums和Exploit）中的访问代理业务，分析得出三个结论：提供选择的访问包选项数量、最受欢迎的访问包以及主要定价和价格范围。

绝大多数访问代理销售（71.4%）提供的不仅仅是特定的访问向量；它们还包括一定程度的特权，而在近10%的销售中，它是包含多个初始访问向量和/或特权的捆绑包。虽然平均售价略高于2700美元，但近40%的产品价格在500至1000美元之间。VPN、域用户和RDP是最常见的访问类型。

近四分之三的IAV销售提供了不同初始访问向量（IAV）的选择，而10%的销售提供了不同IAV的组合包。最常见的IAV包括VPN（23.5%）和域用户（19.9%）（两者均以缺乏或不足的多因素认证为特征），以及RDP（16.7%）。

Rapid7分析论坛活动的主要目的是更好地了解“地下网络犯罪分子不断变化的策略和优先事项”。同时，论坛的历史也证明了执法部门干扰的有效性。由于缺乏简单的方法来识别和预警经纪商论坛上出现的受害者，执法部门肩负着更大的责任，需要破坏整个IAB生态系统。随着执法机构取缔并控制这些暗网论坛，人们真的怀疑这些论坛是否是他们进行非法交易的安全场所。

Rapid7高级副总裁兼首席科学家Raj Samani表示：“这份报告显示，最初的访问经纪人并非只想找到一条进入企业网络的单一途径，然后迅速撤离——他们正在尝试探索已渗透的网络。而且他们经常会成功。”“通过这样做，IAB可以为买家提供管理员权限、多种访问类型，或两者兼而有之。当威胁行为者使用从经纪人那里购买的访问权限和特权凭证登录时，很多繁重的工作已经为他们完成了。因此，问题不在于你是否暴露，而在于你是否能在入侵升级之前做出反应。”

“别搞错了，”Antony Parks（Rapid7威胁情报部门负责人，该报告的研究人员之一）表示，“处于这种困境的企业实际上遭到了经纪人和买家的双重入侵，而且他们的安全解决方案始终无法检测到任何一种非法访问。所有这些，在经纪人离开之前，他们究竟偷走了什么——假设他们真的离开过的话。那很可能是因为经纪人和买家都希望能够进入最终目标。虽然进入第三方可能带来丰厚的利润，但要接触最终目标仍然需要付出额外的努力。”

Rapid7的报告还重点介绍了企业可以采取的自我保护措施，包括强制执行多因素身份验证(MFA)，尤其是在VPN、RDP和访问关键基础设施的用户账户上。企业还应考虑投资威胁感知型检测和响应，包括将访问信号与可疑活动关联起来的统一平台。此外，企业还需要定期进行红队演习，以识别暴露路径，例如废弃账户、默认凭证和可从外部访问的RDP服务。

Anwangxia.com原创文章，作者：anwangxia，如若转载，请注明出处：https://www.anwangxia.com/4303.html

暗网市场正在以不到1000美元的价格出售企业网络的初始访问权限

相关推荐

Leave a Reply Cancel reply