卡巴斯基實(shí)驗(yàn)室6月15日宣布率先發(fā)現(xiàn)xDedic地下黑市——販賣全球超過7萬臺(tái)被感染服務(wù)器權(quán)限,最低售價(jià)僅為6美元!根據(jù)目前掌握的數(shù)據(jù)顯示,xDedic2014年開始營業(yè),并在2015年中快速增長。到2016年5月,該黑市共有來自174個(gè)國家的70,624臺(tái)服務(wù)器在售,由416名不同的銷售商提供。其中,受影響最嚴(yán)重的十個(gè)國家分別為:巴西、中國、俄羅斯、印度、西班牙、意大利、法國、澳大利亞、南非和馬來西亞。在大中華地區(qū)(中國大陸、臺(tái)灣和香港),已有超過100家知名大型企業(yè)和ISP的服務(wù)器受到感染并在xDedic地下黑市出售,包括政府、運(yùn)營商、電商、醫(yī)院、房地產(chǎn)公司和學(xué)校等機(jī)構(gòu)。
xDedic是一種典型的最新型網(wǎng)絡(luò)罪犯黑市。這種黑市組織嚴(yán)密,為所有人提供多樣化服務(wù),從入門級(jí)別的網(wǎng)絡(luò)罪犯到APT(高級(jí)可持續(xù)性威脅)組織都可獲取到快捷、廉價(jià)及易于使用的合法機(jī)構(gòu)基礎(chǔ)設(shè)施的訪問權(quán)限,令網(wǎng)絡(luò)犯罪行為更隱蔽,潛伏很長時(shí)間。卡巴斯基實(shí)驗(yàn)室安全專家近期調(diào)查了這個(gè)專供網(wǎng)絡(luò)罪犯購買和販賣被感染服務(wù)器訪問權(quán)限的全球性論壇。該地下論壇似乎是由一個(gè)俄語網(wǎng)絡(luò)犯罪組織經(jīng)營,并聲稱只提供交易平臺(tái),同服務(wù)器銷售者沒有關(guān)聯(lián)或合作關(guān)系。
目前共有70,624臺(tái)被破解的遠(yuǎn)程桌面協(xié)議(RDP)服務(wù)器在售。其中,大量服務(wù)器被用于托管或訪問常用的消費(fèi)者網(wǎng)站和服務(wù),有的還安裝了相應(yīng)軟件用于處理廣告郵件、金融會(huì)計(jì)和銷售終端(PoS)等服務(wù)。網(wǎng)絡(luò)罪犯不但可以利用這些服務(wù)器發(fā)動(dòng)針對(duì)其所有者基礎(chǔ)設(shè)施的攻擊,還能作為跳板,發(fā)動(dòng)范圍更大的攻擊。而絕大多數(shù)服務(wù)器的所有者,包括:政府機(jī)構(gòu)、企業(yè)和大學(xué)等,對(duì)此還一無所知。
歐洲一家互聯(lián)網(wǎng)服務(wù)提供商(ISP)告知了卡巴斯基實(shí)驗(yàn)室xDedic黑市的存在,雙方合作針對(duì)這一地下論壇的運(yùn)營方式展開了調(diào)查。結(jié)果顯示,這個(gè)論壇的運(yùn)營方式十分簡(jiǎn)單且周密:首先,黑客通過暴力破解方式入侵服務(wù)器,并將相關(guān)登陸憑證提交到xDedic。接下來,檢查被入侵服務(wù)器的RDP配置、內(nèi)存、軟件和瀏覽歷史等信息——客戶在下單前均可查詢上述信息。最后,將這些服務(wù)器添加到在線銷售列表中,其中包括:
·政府、企業(yè)和大學(xué)的服務(wù)器
·能夠訪問或托管特定網(wǎng)站和服務(wù)的服務(wù)器,包括在線游戲、在線購物、在線銀行和在線支付、約會(huì)服務(wù)、電話網(wǎng)絡(luò)、賭博、ISP以及瀏覽器服務(wù)
·預(yù)裝了相關(guān)軟件,可用于攻擊的服務(wù)器,包括廣告郵件、金融和銷售終端軟件等
·均提供大量黑客工具和系統(tǒng)信息工具支持
這些被感染服務(wù)器的合法所有者都是權(quán)威機(jī)構(gòu),而且往往沒有意識(shí)到自己的IT基礎(chǔ)設(shè)施已被入侵。在入侵行動(dòng)成功后,攻擊者就可悄無聲息的銷售服務(wù)器的訪問權(quán)限,啟動(dòng)整個(gè)業(yè)務(wù)流程的運(yùn)轉(zhuǎn)。網(wǎng)絡(luò)罪犯最低僅需支付6美元就可在xDedic上購買一臺(tái)服務(wù)器,訪問該服務(wù)器的所有數(shù)據(jù),或用其作為實(shí)施進(jìn)一步攻擊的平臺(tái),包括發(fā)動(dòng)針對(duì)性攻擊、惡意軟件攻擊、DDoS攻擊、釣魚攻擊、社交工程攻擊以及廣告軟件攻擊等。
卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)總監(jiān)Costin Raiu認(rèn)為: “商業(yè)生態(tài)系統(tǒng)和交易平臺(tái)的出現(xiàn),進(jìn)一步證實(shí)了網(wǎng)絡(luò)犯罪服務(wù)的飛速擴(kuò)張。這類服務(wù)讓所有人——從初級(jí)惡意攻擊者到政府資助的APT組織,都能通過廉價(jià)、快捷和有效的方式,輕松實(shí)施潛在危害巨大的攻擊。受害者不僅是遭遇攻擊的消費(fèi)者和機(jī)構(gòu),還包括毫不知情的服務(wù)器所有者——就在自己的眼皮底下,他們的服務(wù)器已經(jīng)被多次劫持用于實(shí)施不同的攻擊”。
卡巴斯基實(shí)驗(yàn)室建議所有機(jī)構(gòu)和企業(yè):
·安裝一款功能強(qiáng)大的專業(yè)安全解決方案,作為企業(yè)IT基礎(chǔ)設(shè)施多層級(jí)保護(hù)的重要一環(huán)
·使用高強(qiáng)度密碼進(jìn)行服務(wù)器身份驗(yàn)證
·實(shí)施持續(xù)的補(bǔ)丁管理策略
·定期對(duì)IT基礎(chǔ)設(shè)施進(jìn)行安全審查
·慎重考慮投資和購買專家威脅情報(bào)服務(wù),以便實(shí)時(shí)了解全球最新的威脅信息以及網(wǎng)絡(luò)犯罪最新動(dòng)態(tài),幫助企業(yè)或組織評(píng)估自身的風(fēng)險(xiǎn)水平
·如需了解企業(yè)服務(wù)器是否已被感染,可與卡巴斯基安全專家聯(lián)系進(jìn)行安全審查和評(píng)估。
京公網(wǎng)安備 11010502049343號(hào)