聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
2016年年初,Recorded Future 公司的分析师发现某威胁行动者正在一个匿名黑客论坛上出售包含病患记录的医疗数据库。该威胁者使用的昵称是 “thedarkoverlord”,一个不久将成为连网络安全社区之外也有所耳闻的名字,它勒索高级别目标并公开要求赎金交换机密数据。这个勒索组织之后将渐渐发布被盗文档,而这已成为大量勒索软件狩猎者们争相复刻的模子。
近年来,thedarkoverlord 组织攻陷了多家医疗企业并在按网上出售数百万病患的数据。它的触手还伸向其它行业并在2017年因发布 Netflix 当时即将上映的系列剧 “Orange Is the New Black” 而声名大噪。它们将剧集发布在现已被封禁的推特账户上,原因是 Netflix 拒绝支付赎金。时间线拉得更近一点,该组织发布了和911事件诉讼相关的被盗文件,目的是迫使受害者支付赎金。Thedarkoverlord 使用的很多技术之后就得到了更广泛的网络犯罪社区的范本。针对医院的勒索攻击原本让人觉得厚颜无耻,而如今已变得稀疏平常,一天就会报告数起事件。另外,网络犯罪分子的勒索技术也越发具有攻击性,最近几个月至少有一起勒索事件是针对被陷医疗数据库的多名个体,如受害者不缴纳赎金,则被威胁发布精神健康病史。尽管在今年9月份,一名英国公民因 “在计算机黑客组织 The Dark Overlord“ 中所扮演的角色而获刑5年,但司法部指出,该组织的规模和内部工作机制仍然鲜为人知。2016年8月,Recorded Future 通过加密的 Jabber 会话和 thedarkoverlord 连线,询问了关于该组织方法和意图的更多信息。Thedarkoverlord 同意接受时长为90分钟的访谈,条件是支付车马费。Recorded Future 将访谈作为内部自有情报收集目的之用,但鉴于当前医疗组织机构面临越来越多的网络勒索和攻击,因此决定将内容公开。出于可读性和清晰性的目的,如下对话已经过些许编辑。(文中 “TDO” 代指 “Thedarkoverlord”,”RF” 代指 ”Recorded Future”。)RF:你的昵称是来自哈利波特吗?起初为什么会要攻击医疗记录?TDO:昵称没啥特别的,是用随机名称生成器生成的。医疗行业是众多被攻击的行业之一。每个行业都获得一份唯一的资料和昵称。总是认为它被攻击是一种错觉,实际上它只是被攻击的众多目标之一。我们喜欢并享受辽阔的狩猎场。TDO:一个Hive拥有的成员越多,该Hive拥有的处理能力和可能性就越多。RF:除了利用 RDP 漏洞外,你还会如何攻陷医疗数据?可以描述下识别易受攻击目标的高层工作流吗?TDO:你还记得几个月之前发生的 Dropox hack 事件吗?TDO:我会给你一个例子说明我们通常是如何开发潜在客户的。我们会编译一个含有已知公司的邮件地址和域名的大型数据库并使用数据点将它们归类。之后我们会使用自己或他人攻陷的其它服务(如 Dropbox)并爬取数据库,匹配邮件地址并发送密码复用攻击或其它底层和并不复杂的攻击获得潜在客户。成功找到潜在客户后,我们就会转向高级别的攻击向量。TDO:不一定是“容易得手的目标”。我们选择从允许更独特渗透方法的矢量入手。我们收集大量企业和有组织实体的很多信息,之后会处理数据,判断我们所拥有的攻击面是哪种类型。举个例子,我们会判断证实某个企业是否将域名托管在站点上以及使用 Web 漏洞访问它们的 LAN。通常不存在这种可能性,因此我们一般使用他们可信邮件系统的嵌入式 exploit 和常见的 SE 攻击。例如,如果我们在受陷雅虎数据库种找到了一个企业邮箱,很大概率上这个邮件地址使用的密码也用在了企业网络中。RF:所以你们通常使用现有凭据访问远程应用甚至是远程网络,之后部署本地 exploit,提升权限?TDO:不一定是通用的矢量,不过是其中之一。我们主要是识别企业候选人并进一步扩张供给面攻击不太安全的个人机器,如果在工作地出现就会在本地传播。我们最近就是利用这种方法攻击了一家大型油气公司。如果能识别出企业候选人,那么我们通常会亲自通过邮件攻击或类似方法实施攻击。人类在家里总是要比在公司放松。在工作环境中,人们对个人设备的关注极少。从潜在客户开发角度来讲,很多矢量是相对自动的。我们通常会运行大规模的邮件活动来构建僵尸网络并追踪其 IP 地址,判断他们的工作地点是否值得进一步调查。我们偏向于使用大数据分析和元数据分析来构建资料。RF:你们是否部署过水坑攻击,知道其中一个目标会经常访问某个网站,而你可以重定向他们?TDO:很多次。我们曾找到拥有受陷思科路由器的厂商,这样做是有作用的。我们在很多思科路由器上拥有很多被 root 的环境,用于执行这种中间人攻击。RF:你们通过路由器重定向到 exploit 站点?TDO:在某些情况下是这么做的。我们通过在特定的路由器上创建虚拟环境并将所有流量重定向进行存储。主要好处在于事后分析未加密通信。虽然厂商提供了批量 shell,不过仍然警觉地保护自己的运行方法。RF:你的厂商如何收费?你可以具体说下目标网络吗?或者该厂商只是出售预存在的 shell 访问权限?TDO:价格取决于数量。按照他拥有的单元数量,我们通常请求获取具体的 IP 地址,而他有很多个。我们将会发送编译好的潜在客户 IP,而他会相互参照库存。我们通常也会通过 IP 块进行购买。一个单独的 shell 一般是20美元。进一步的定价取决于数量。有时候一个块中只有少数几个,有时候会有一百个甚至更多。我们已经将价格谈判到每个 shell 一美元的低价。我们一直在通过复制和重定向通过真实的数据渗透进行实验。RF:按你的经验来看,主流行业如医疗、金融服务、能源、零售和政府在安全方面做得怎么样?RF:你们是否还攻击过其它敏感信息如在公开发布前攻击季度财报?TDO:恕无可奉告。这个问题涉及到我无法和你分享的行业。RF:好吧。利用数据库和定位数据库买家之间的时间有多久?TDO:我们的客户多久会上线?我们有一个已有的客户库,因此我们会快速推出产品。时间取决于我们是否勒索该目标。如果某个目标正在遭勒索,那么我们会保留销售。TDO:所有行业都会。我们的成功率是每五个客户中就有三个会支付。一般而言,医疗行业支付的概率最低。RF:你从事这行多久了?你会有利润目标和/或时间线吗?RF:你认为 Tor + VPN(或代理链)足以逃避执法部门吗?TDO:这个问题也无法回答。我只能说:完全逃避法律制裁的唯一方法是仔细选择目标并呆在不会引渡以及无法触及你所攻击国家的管辖区内。RF:你为何在 Real Deal 和另外一个论坛上售卖呢?你还会在其它论坛上出售吗?【注:Real Deal 是之后被关闭的暗网市场】TDO:我们也在其它论坛上售卖,用的是不同的昵称。我们通常会重新格式化产品并隐秘推送。TDO:我们的化名都有出色的声誉。一致的品牌有优势也有劣势。RF:大规模可识别信息的市场在扩大还是在缩小?美国数据库是否是最具价值的?TDO:美国和加拿大的数据库是价值最大的。这个市场正在巨幅增长。TDO:我们不会公开露面。如果你是集体的一份子,你就是被选之人。RF:如果我需要某个具体数据库的信息,你们会接受雇佣吗?TDO:多数时候,不会。如果目标在蜜罐中,那么这样做会暴露很多技术和指纹。不管如何,价格必须非常高昂。否则,就是在浪费我们的时间。(这时,TDO 分享了一个和 “Hell” 黑客论坛相关的数据表格,最近谣传论坛创始人已被抓后已重新上市。)TDO:很显然,Hell 社区记录了论坛上的所有搜索。我手里有所有的表格,你想要哪方面的数据?(TDO 转储私密信息数据,包括交易对话、双因素认证和 exploit.)RF:你如何看待多数人即使知道未加密通信存在的风险也不使用 PGP 的情况?TDO:我无法猜测其他人的动机或行动。Hell 和 TRD 是易遭利用的目标。这些私密信息飞铲更有意思。我认为很多数据都是执法部门想要的。RF:随着 EMV 的广泛使用,似乎无卡欺诈是实施大规模欺诈的唯一可行路径,但 CVV 是一种便宜的商品。这是否让你的商品更具价值呢?RF:大规模 PII(个人可识别信息)的最常见变现路径是什么?TDO:不能一概而论。有些客户是允许转售的,条件是不能卖给以同样方式使用这些数据的已知实体。欺诈性保险索赔、退税欺诈、欺诈性银行账户释放、开设欺诈性的信用额度、大规模的电子邮件垃圾等。社保号码和邮件地址的价值很大,因为受害者如果看到自己的社保号码是非常容易被说服的。RF:你经常会自己写工具吗?还是现成可用工具就足够了?TDO:我们已经写了为各种目的服务的各种工具。你会把这些数据编译为内部报告吗?RF:暂时无法确定,我很好学。你有白帽黑客的正常工作吗?TDO:这个问题我回答不了。“很多病人对境况刚到沮丧和受挫……”,Athens 骨科诊所的首席执行官 Kayo Elliott 在一份声明中指出,“当然,他们希望我们能够支付信用卡监控展期服务。我们也希望如此。但我们真的很遗憾无法这么做,因为我们无法花费数百万美元为近20万病患支付信用卡监控服务费用,让 Athens 骨科继续营业。我意识到将病人置于这种境地并对此感到非常抱歉。“如果贫穷的 Kayo 能和我们合作,那么他不必处于这种境地。我认为这是集体诉讼的基础。RF:但如果 Kayo 支付的话,他能获得更多的收益,是吗?RF:好吧,但他不得不信任你不会泄漏他支付的事实;因为就他所知,你会和其他决定亲自实施攻击的其他人分享这个信息。TDO:我们用手机和他讨论了这个问题。他坚持愚弄我们,结果自己的生意惨淡。我没法再说更多了。TDO:我们不会用“竞争”看待这些事情。世界很大。我们经常会走到其它组织的足迹上,但我们看到他们通常无法获得利润。TDO:我们中的有些人以集体名义行动。每个人都有自己的计划。RF:这样不是招来执法部门的注意了吗?还是这是建立品牌的必要步骤?RF:好吧。谢谢你今天能参加访谈。我希望以后还有访谈机会。TDO:可能吧。我们的 TRD 账户已经关闭了。管理员因受伤不在岗。TDO:不能。这个即焚的 Jabber 账户是专为你设置的。TDO:【显然从一个受害者医疗数据库中粘贴了几行数据。】我会把这个留给你,够你忙活一阵了。【又粘贴了几行受害者的 PII。】TDO:如果你想,你可以追下去。我们让它成为新闻,它才能上新闻。给你发完这两行内容,我必须得走了。
https://therecord.media/an-early-interview-with-the-dark-overlord-the-hacking-group-that-forever-changed-cyber-extortion/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~