17 мая 2019

Торговля в Darknet с украденными сертификатами TLS

Киберпреступники используют Darknet для ведения бизнеса. Как показывают недавние исследования, идентификаторы компьютеров в Darknet считаются более важными, чем вымогатели или похищенные цифровые идентификаторы, состоящие из имени и пароля. Они продаются по более высоким ценам, а предложение больше, потому что есть соответствующий спрос.



И люди, и машины должны идентифицировать, но машины делают это с помощью идентификаторов машин, а не имен или паролей. Однако в настоящее время уходит много времени и денег на защиту человеческих идентичностей и гораздо меньше на защиту идентификационных данных машин. Вот почему они становятся уязвимыми в наших системах безопасности и идеальной целью для киберпреступников. Преступники тратят много времени и ресурсов на кражу идентификационных данных компьютеров, таких как сертификаты TLS, и в настоящее время они продаются в даркнете по высоким ценам.

В недавнем исследовании, проведенном исследователями из Исследовательской группы по кибербезопасности, основанной на фактических данных, в Школе политических исследований Эндрю Янга при Университете штата Джорджия и Университете Суррея в сотрудничестве с Venafi, были цветущие рынки для сертификатов TLS, индивидуально продается и упаковывается с широким ассортиментом криминальных товаров, раскрытых. Эти сервисы предоставляют идентификаторы компьютеров как сервис для киберпреступников, которые хотят подделывать веб-сайты, прослушивать зашифрованный трафик, выполнять атаки типа «злоумышленник в середине» и похищать конфиденциальные данные.

Всего было исследовано пять торговых площадок, и в результате поиска было найдено 2943 упоминания для «SSL» и 75 для «TLS». Оказывается также, что некоторые торговые площадки, такие как Dream Market, специализируются на продаже сертификатов TLS, которые эффективно предоставляют идентификацию машины как услугу. Кроме того, исследователи обнаружили, что сертификаты часто упакованы с другими криминальными продуктами, включая вымогателей. Напротив, было только 531 упоминание для вымогателей и 161 для нулевых дней.

Среди наиболее важных результатов экспертизы относятся

    Пять из наблюдаемых сетевых рынков Tor обеспечивают непрерывную поставку сертификатов SSL / TLS, а также ряд сопутствующих услуг и продуктов.
    Цены на сертификаты варьируются от 260 до 1600 долларов США, в зависимости от типа предлагаемого сертификата и количества дополнительных услуг.
    Исследователи обнаружили, сертификаты Advanced Validation, с услугами по поддержке вредоносных сайтов, такие как Google-индексированных «старых» домены, после продажи поддержки, веб-сервисов и интеграции с рядом платежных систем - уже - в том числе и нашивки, PayPal и Square.
    По крайней мере один провайдер в BlockBooth обещает выпустить сертификаты от авторитетных ЦС вместе с поддельными корпоративными документами, включая номера DUNS. Этот набор продуктов и услуг позволяет злоумышленникам надежно аутентифицировать себя в качестве надежной американской или британской компании менее чем за 2000 долларов.

Очень интересным аспектом этого исследования является то, что сертификаты TLS с сервисами циклического преобразования - например, Услуги веб-дизайна - упакованы, чтобы дать злоумышленникам мгновенный доступ к высокому уровню онлайн доверия и доверия. Удивительно было узнать, как легко и недорого получить продвинутые валидационные сертификаты вместе со всей документацией, необходимой для создания очень надежных подставных компаний без информации о проверке.

Вывод

Бизнес Darknet приносит прибыль, поскольку киберпреступники продолжают находить уязвимости в корпоративных сетях и системах безопасности для кражи конфиденциальной информации, такой как идентификационные данные компьютеров. Компании, которые не защищают свои идентификаторы машин, способствуют развитию этих незаконных предприятий и наносят вред самим себе. Сертификаты TLS, которые действуют как удостоверения доверенных компьютеров, безусловно, являются важной частью инструментов киберпреступности, таких как боты, вымогатели и шпионские программы. Тем не менее, гораздо больше исследований необходимо в этой области. В любой организации сотрудники службы безопасности должны быть обеспокоены тем, что сертификаты, используемые для установления и поддержания доверия и конфиденциальности в Интернете, продаются в качестве товара для киберпреступников. Чтобы лучше защитить себя, организации должны иметь возможность контролировать все идентификаторы компьютеров - не только те, которые они знают или те, которые находятся в их сетях, но и все идентификаторы компьютеров везде. У них должны быть правильные технологии, позволяющие им идентифицировать вредоносные сертификаты. Другие технологии, такие как прозрачность сертификата и репутация сертификата, также очень полезны. Это позволяет им успешно отражать атаки, такие как клавиатурные шпионы и вредоносные программы.

Об опросе: с октября 2018 года по январь 2019 года исследователи изучали онлайн-рынки на форумах Darknet и хакеров. Преступники были активны в сети Tor, I2P и Freenet. Там исследователи специально искали «выставленные на продажу» объявления о скомпрометированных и поддельных сертификатах TLS. В ходе 16 еженедельных поисков было обнаружено около 60 соответствующих сайтов онлайн-рынка на Tor и 17 сайтов на I2P. Исследовательская группа не только детально проанализировала предложения, но и опросила нескольких продавцов, чтобы лучше понять продаваемые товары и услуги.

Автор 
Опубликовано в Новости
Onion

Главред Darkmore.ru

Добавить комментарий


Защитный код
Обновить