셀링 액세스: 초기 액세스 브로커에 대한 입문서

액세스에는 전원 키가 있습니다.워싱턴에서 뭔가 해내고 싶으세요?정부의 수단을 조작할 수 있는 적절한 사람들을 알아야 합니다.사업을 시작하시나요?자본 및 기타 재정 자원을 확보하는 것이 중요합니다.경력을 쌓고 싶으신가요?네트워킹은 올바른 기회를 제공합니다.

사이버 범죄자들도 다르지 않습니다.돈을 받거나 혼란을 일으키거나 정보를 훔치려면 전 세계 기업, 정부 기관 및 저명한 개인을 주요 대상으로 삼아야 합니다.하지만 표적을 감시하고, 공격 계획을 세우고, 촉수를 보내고, 초기 액세스 권한을 얻으려면 시간이 많이 걸리며, 때로는 몇 달 또는 몇 년이 걸릴 수도 있습니다.그 결과 네트워크 액세스의 수익화를 중심으로 전체 산업을 구축한 사이버 범죄자인 초기 액세스 브로커가 급격히 증가했습니다.

초기 액세스 브로커는 누구인가요?어떤 서비스를 제공하나요?왜 그렇게 성공했을까요?왜 신경을 써야 하죠?다음은 이러한 중요한 질문에 대한 답변입니다.

초기 액세스 브로커란 무엇인가요?

초기 액세스 브로커 보안 업계의 기회주의적 자물쇠 제조공으로, 대상 조직에 대한 액세스 권한을 획득하고 판매합니다.많은 RaaS (Ransomware-as-a-Service) 제품을 사용하면 신용카드나 암호화폐 계정이 있는 사람이라면 누구나 시간과 노력이 많이 드는 감시 및 범위 지정 프로세스를 건너뛰면서 대상에 대한 초기 액세스 권한을 구매할 수 있습니다.위협 행위자는 이 액세스를 사용하여 기업 정보 및 시스템을 몸값으로 보유하거나, 데이터를 도용하거나, 페이로드를 전달하거나, 운영을 방해할 수 있습니다.이를 통해 위협 행위자가 표적 네트워크에 액세스하여 기회 발생 시 신속하게 조치를 취할 수 있도록 시장 출시 시간을 단축할 수 있습니다.

이러한 추세가 왜 불안한가요?

초기 액세스 브로커는 기업 표적만큼이나 간결하고 민첩한 악의적 행위자로 구성된 완전히 새로운 시장을 엽니다.사이버 범죄자가 더 이상 전문 해커가 아니어도 다국적 기업이나 정부 기관에 침투할 수 있습니다.신용카드나 암호화폐 계정만 있으면 됩니다.또한 스포츠를 위해 네트워크에 무단으로 액세스하여 얻은 액세스 권한을 이용하지 않으려 했던 많은 취미 해커들도 이제는 도덕적 반대 없이 자신들의 노력으로 수익을 창출할 수 있습니다.초기 액세스 브로커는 최고 입찰자에게 액세스 권한을 판매함으로써 고객이 퍼뜨릴 수 있는 피해로부터 고립감을 느끼고 공격 규모와 범위를 확대할 가능성이 커집니다.

초기 액세스 시장은 어떻습니까?

놀라울 정도로 싸다.에 따르면 켈라, 초기 액세스 브로커는 평균 약 5,400달러에 액세스를 판매하지만 다국적 기업이나 유명 정부 기관이 소유한 네트워크에 대한 도메인 관리자 권한은 훨씬 더 높은 가격을 요구할 수 있습니다.네트워크 액세스 판매에는 일반적으로 영업일 기준 1~3일이 소요되며 미국과 EU에 있는 회사가 가장 일반적인 대상입니다.러시아어를 사용하는 가장 잘 알려진 다섯 개의 랜섬웨어 사업자 (LockBit, Avaddon, DarkSide, Conti, BlackByte) 는 모두 초기 액세스 브로커를 사용하는 것으로 알려져 있습니다.

초기 액세스 브로커에서 발생한 세간의 이목을 끄는 공격은 무엇입니까?

에 대해 최근 발생한 사이버 보안 사고 방콕 에어웨이즈 초기 액세스 브로커까지 추적되었습니다.항공사의 Cisco AnyConnect VPN을 통한 액세스는 2021년 7월에 경매에 넘겨졌고, 불과 두 달 후 회사는 승인되지 않은 사람에게 승객 데이터를 노출시킨 공격의 피해자라고 발표했습니다.

초기 액세스 브로커는 어떻게 랜섬웨어 공격을 가능하게 합니까?

초기 액세스 브로커 공격의 구조는 매우 간단합니다.

1. 초기 액세스 브로커는 a를 사용합니다. 고도로 회피적인 적응형 위협 (HEAT) 제대로 방어되지 않은 웹 사이트를 손상시키는 기술.웹 사이트는 이미 평판이 좋은 것으로 분류되었으므로 URL 분류 및 기타 필터링 방어는 사이트를 차단하거나 신고하지 않습니다.Menlo Labs 연구팀은 이러한 HEAT 전략을 레거시 URL 평판 회피 (LURE) 로 분류했는데, 이는 악명 높은 것으로 알려져 있습니다. 라자루스 그룹 최근에 사용.
2. 현재 악성 PDF를 호스팅하고 있는 손상된 웹 사이트가 검색 결과에 나타납니다.
3. 사용자가 SEO에 감염된 링크를 클릭하고, HTTP 리디렉션을 여러 번 수행한 후 악의적인 1단계 멀웨어 페이로드가 엔드포인트에 다운로드됩니다.
4. 공격자는 이 백도어 액세스를 활용하여 시스템 정보를 수집합니다.
5. 그런 다음 초기 액세스 브로커는 다크 웹을 통해 랜섬웨어 위협 행위자에게 액세스 권한을 판매합니다.
6. 랜섬웨어 공격자는 백도어를 통해 Cobalt Strike 페이로드를 전송하여 네트워크 전체에 측면으로 확산합니다.
7. 공격자는 Active Directory를 통해 전체 도메인 보안 침해를 당합니다.
8. 행위자는 연결된 모든 워크스테이션과 장치에 랜섬웨어를 배포합니다.

초기 액세스 브로커가 성공한 이유는 무엇일까요?

디지털 혁신의 가속화, 최신 애플리케이션, 멀티 클라우드 환경 및 원격 작업으로 인해 위협이 확산되어 조직이 모든 분산 자산을 보호하는 것이 불가능해졌습니다.악의적인 공격자는 HEAT 기법, VPN의 취약점, 사용자 행동을 악용하여 기존의 탐지 및 대응 방어를 회피할 수 있습니다.

히트 기반 공격은 기존의 웹 보안 조치를 우회하고 웹 브라우저 기능을 활용하여 초기 페이로드를 전송하거나 자격 증명을 손상시킵니다.일반적으로 탐지 시점 (공격이 탐지된 경우) 이 너무 늦어서 초기 침해를 막을 수 없습니다.그때쯤이면 액세스 권한이 이미 최고가 입찰자에게 팔렸을 가능성이 높으며, 최고 입찰자는 투자금을 돌려받아야 한다는 압박을 받고 있습니다.

이러한 공격을 막으려면 어떻게 해야 할까요?

이러한 공격을 막을 수 있는 유일한 방법은 초기 액세스 브로커가 초기 액세스 포인트에서 조직에 침입하는 발판을 마련하지 못하도록 방지하는 것입니다. 이렇게 하면 잠재적 침해가 마치 발생하지 않은 것처럼 무용지물이 됩니다.이를 위해서는 고급 피싱 방지 및 인터넷 격리 기능에 초점을 맞춘 강력한 보호 전략이 필요합니다.격리는 클라우드에서 인터넷과 사용자 장치 사이에 가상의 에어 갭을 제공합니다.모든 콘텐츠는 a를 통해 라우팅됩니다. 격리 기능을 갖춘 보안 웹 게이트웨이 (SWG), 클라우드 내에서 격리되어 실행됩니다.이를 통해 악의적이든 아니든 모든 코드가 엔드포인트에서 실행되는 것을 방지하여 악의적인 공격자의 네트워크 액세스를 효과적으로 차단하고 HEAT 공격의 효과를 떨어뜨립니다.