駭客將偷來的登入憑證與個資放雲端,以訂閱或買斷方式出售,包含Google、Amazon、Twitter、Facebook、PayPal 等帳密

雲端是今日的當紅炸子雞,善用雲端,就能發揮資源的最大效用、節省時間、提高自動化,也讓您減輕一些資安負擔。您知道駭客也已經跟上時代了嗎?犯罪集團正利用雲端資源來加速拓展版圖。

失竊的登入憑證可能使企業遭入侵,而雲端讓駭客攻擊更加如虎添翼


他們已開始將竊取到的登入憑證與使用者資訊存放在雲端,然後以訂閱或買斷的方式提供給其他犯罪集團使用。在一批含有一千個記錄檔的資料樣本中,我們總共找到了 67,712 個被駭的帳號網址。歹徒建立了所謂的「記錄雲」(Cloud of Logs),透過訂閱方式來存取,每月費用在 350 至 1,000 美元之間,裡面包含了數千筆或數百萬筆熱門網站 (Google、Amazon、Twitter、Facebook、PayPal 等等) 的帳號和密碼。

這裡下載有關這個新興市場的完整報告

這些失竊的登入憑證可能使企業遭駭客入侵,而雲端又讓駭客的攻擊更加如虎添翼。

您或許會想:「我們公司的系統百分之百都在企業內部,沒有上雲端,所以我不用擔心」或是「這些都只是個人資訊,並非可能對我不利的商業資料。」

其實這種虛幻的安全感反而讓歹徒更容易得逞,因為歹徒並非攻擊企業的雲端基礎架構,而是利用雲端技術本身來提升並擴大其攻擊行動。而且,不同的帳號重複使用同樣的密碼,是任何企業都很常見的使用者問題,因此,員工個人的資訊安全也是企業風險評估的重點之一。

新的網路犯罪市場儼然成形

近年來,隨著駭客不斷蒐集大量帳號登入憑證及相關電子郵件地址或網域名稱,登入憑證竊取的問題正日益嚴重,這是全球企業所面臨最基本、也最持續性的威脅之一。

雖然採用最新技術來對付最新型態的威脅固然重要,但今日絕大多數的攻擊都是利用一些最基本的資安弱點,而密碼重複利用就是其中一項最普遍的問題。

當您的某位員工在設定公司網域的登入密碼時使用了與其個人帳號相同的密碼,然後該員工的個人帳號密碼遭駭客竊取,最後出現在前述的雲端記錄檔,那就有其他歹徒可能利用這組密碼來駭入您的企業。

事實上,光是我們找到的六家提供這類記錄雲的廠商就已囊括了 5TB 的記錄檔資料,這代表著數百萬筆失竊的使用者個人資料。

歹徒如何運用雲端加快攻擊流程?

「傳統」的登入憑證竊盜網路犯罪流程

那麼歹徒是如何運用雲端來加快其老舊的攻擊流程?以下是「傳統」的登入憑證竊盜網路犯罪流程

1.      犯罪集團經由各種管道入侵受害者系統並植入惡意程式來竊取帳號資料,包括個人帳號與企業帳號,由於使用者很可能兩者都使用相同的密碼,所以當個人帳號被盜時,企業也可能因而遭殃。


2.      犯罪集團將偷來的帳號資料彙整到某台他們所掌控的伺服器上。


3.      由於資料量龐大,因此歹徒不太可能用手動方式處理,所以他們會先做一些簡單的搜尋來挑出最好賣的帳號和資料 (信用卡資料、電子郵件、Netflix 帳號等等)。接著,歹徒會用人工方式檢查這些資料當中是否有一些能讓他們駭入高價值目標的帳號。想像一下,這些記錄檔動輒數萬筆資料需要花多少時間來檢查,而且一個團隊大概只有六、七個人,每個人都還要負責其他工作,所以這項人工作業可能要花費數日甚至好幾星期的時間。


4.      檢查過後,歹徒不需要的帳號資料就會打包拿到地下市場販售。如果拿肉品來做比喻,有些資料是所謂的「主要部位」,既好賣、也好利用,有些資料則如同骨頭上的碎肉。資料必須在切割後不久後就盡快拿到市場上販售,不然資料放久了也會「過期」。


5.      最後剩下的資料大多丟棄,因為儘管對某些特殊的買家來說可能會有價值,但歹徒很難找到適當的買家。這就好像某些被丟棄的食物部位對某些地區的人來說可能是一種難得的珍饈,比主要部位更有價值一樣。


6.      接著,犯罪集團繼續尋找新的受害者,然後持續同樣的循環。

新的犯罪流程

新的犯罪流程一開始跟原本差不多,只不過稍有新增或修改:


2.      犯罪集團現在會先暫時將記錄檔彙整到某個中央伺服器,然後擷取自己需要的資料,接著就立即上傳至「記錄雲」。記錄雲的獲利方式與一些串流服務一樣採用按月訂閱的模式,而這也成了歹徒的主要收入來源。所以,從資料竊取到資料被拿到市場上販售的時間間隔,從幾星期縮短到了幾天、甚至幾小時。


3.      現在,偷來的資料不光是單一犯罪集團的寶庫,透過「記錄雲」平台,就能讓更多犯罪集團 (正常來說會設定上限) 從資料中挖掘自己想要的資料。若用前面的肉品來比喻,這就好像在主要部位切割之後,剩下的肉就讓好幾十隻禿鷹自己去啃食。


4.      在這樣的情況下,一些所謂特殊的「珍饈」就不會被浪費,因為有特殊需求的人自己會去找到他們想要的資料,而且是在資料竊取後的一天左右就能拿到,而不像之前一樣需要等好幾個禮拜,或者可能直接被丟棄。


5.      結論是,現在不僅有更多帳號資料會被拿來販售,而且從資料失竊開始到資料被歹徒用來攻擊企業的時間間隔,也從幾星期縮短到幾天、甚至幾小時。由於大多數的資料外洩都不會立即被發現,所以通常當企業發現資料遭到外洩時,資料早已被另一批駭客用來入侵企業的網路。而這只是企業帳號或企業電腦遭駭的情況,企業更無從知道員工的個人電腦是否已經遭駭而使得同樣的帳號被用來登入公司的電腦。


至於聞風而來的禿鷹們,會試圖從企業失竊的資料當中找尋他們所要的資訊,不論是要入侵企業伺服器 (請參閱 這一篇文章),或是要尋找勒索病毒 Ransomware詐騙、變臉詐騙、勒索病毒 Ransomware的攻擊目標。

但不論目的為何,犯罪集團正利用雲端資源來加速拓展版圖。

新網路犯罪市場崛起

在這種新的商業結構下,「資料為王」就更不在話下,所以犯罪集團需要資料探勘專家來從每一 TB 偷來的資料當中挖掘出更多寶藏。

這樣的人在網路犯罪組織當中的任務並非竊取或販賣登入憑證,而是擔任庖丁解牛的角色。

像這樣的全新雲端業務,最理想的作法就是利用機器學習(Machine learning,ML)來快速將資料分類以應付不同買家的需求。

在這個行業中,資料分析師與機器學習專家將變得像雲端架構師與工程師一樣搶手,網路犯罪集團會看中這項專業能力,一點也不令人意外。

對企業機構有何影響?

既然歹徒能夠更有效地發動攻擊,那麼他們也可能一次攻擊多個企業,進而推高整體攻擊數量。當網路犯罪集團找到方法能夠快速從偷來的資料當中找到所需資訊,那麼資訊將更有效被利用。

失竊的資料將可在犯罪集團之間發揮最大效益,因為不同的犯罪集團會依他們專精的犯罪領域而各取所需:有些擅長竊取比特幣,有些則是線上購物詐騙、變臉詐騙攻擊或稱為商務電子郵件入侵, BEC)勒索病毒 Ransomware (勒索軟體/綁架病毒)、網路釣魚(Phishing)的專業老手。

雲端技術的設計是為了讓企業能夠更靈活地擴充並降低成本,基本上就是讓企業徹底發揮潛能,這些網路犯罪雲端記錄檔的作用也一樣。

對處在防禦一方的企業來說,從資訊失竊到資訊被用於攻擊的時間間隔已經大幅縮短。現在,企業偵測及回應登入憑證竊盜事件的反應時間變得更短。等日後這套商業模式更加成熟時,我們會再詳細撰文討論。

企業現在必須加強自身在資安方面的基本功,盡可能在最短時間內發現資料外洩情況。除此之外,員工的網路資安基礎觀念教育也很重要,企業要讓員工了解為何這對他們很重要,以及如何隨時保持警戒來確保企業安全。

企業所面臨的風險並未改變,但企業將付出代價卻更高。隨著歹徒加快攻擊腳步並拓展更多能力,企業需要一套完善的資安策略來搶先歹徒一步。

原文出處:Attackers are using the cloud, too.Here’s what you need to know 作者:Robert McArdle