-
09/04/2020
-
93
-
593 bài viết
HUMINT: Diving Deep into the Dark Web
Khám phá cách tội phạm mạng hành xử trong các diễn đàn Dark Web - những dịch vụ họ mua và bán, điều gì thúc đẩy họ và thậm chí cả cách họ lừa đảo lẫn nhau.
Phân biệt Clear Web, Deep Web, Dark Web:
Các dịch vụ phạm tội có sẵn trên Dark Web: Bán thuốc, dịch vụ định danh giả mạo, marketplace để tìm kiếm các nhà cung cấp,... Ngày nay, nhiều trong số này đã bị gỡ xuống. Thay vào đó, bọn tội phạm đang hướng tới nền tảng nhắn tin Telegram, do các tính năng bảo mật và quyền riêng tư của nó.
Các diễn đàn phạm tội được quản lý như thế nào? Tạo niềm tin trong môi trường không đáng tin cậy
Cũng giống như bất kỳ hệ sinh thái thương mại nào khác, kẻ tấn công sử dụng các diễn đàn trực tuyến để mua bán dịch vụ hack, họ cố gắng khai thác các lỗ hổng và đột nhập vào hệ thống như một cách để kiếm lợi nhuận. Tuy nhiên, bản thân diễn đàn lại được xây dựng trên cơ sở tội phạm, do đó những diễn đàn này cần tạo được niềm tin giữa các thành viên.
Nói chung, các diễn đàn như vậy ban đầu được thiết kế như sau:
Con đường từ nhiễm phần mềm độc hại đến rò rỉ dữ liệu doanh nghiệp trong Dark Web
Cùng xem xét một ví dụ về phần mềm độc hại được sử dụng để đánh cắp thông tin cho mục đích ransomware để thấy được các giai đoạn tấn công khác nhau được thể hiện như thế nào trong Dark Web.
Các giai đoạn trước sự cố:
Vai trò của HUMINT
Các giải pháp tự động là không thể thiếu để chống lại tội phạm mạng, nhưng để hiểu đầy đủ về lĩnh vực này, cần có trí tuệ con người (HUMINT). Đây là những sĩ quan tội phạm mạng, xuất thân từ các cơ quan thực thi pháp luật, tiến hành đăng nhập vào các diễn đàn và hành động như những kẻ buôn bán.
Ví dụ: Kẻ tấn công đang bán thông tin đăng nhập VPN, nhân viên tội phạm mạng sẽ cố gắng thu hút và hiểu VPN hoặc ứng dụng khách này thuộc về ai.
Phân biệt Clear Web, Deep Web, Dark Web:
- Clear Web: Nội dung web có thể được xem thông qua các công cụ tìm kiếm công khai, bao gồm phương tiện truyền thông, blog và các page và trang web khác.
- Deep Web: Các trang web và diễn đàn không được các công cụ tìm kiếm lập chỉ mục. Ví dụ: webmail, ngân hàng trực tuyến, mạng nội bộ của công ty, v.v. Một số diễn đàn hacker tồn tại trong Deep Web, yêu cầu thông tin đăng nhập để vào.
- Dark Web: Các nguồn web yêu cầu phần mềm cụ thể để có quyền truy cập. Các nguồn này ẩn danh và đóng, bao gồm các nhóm Telegram và diễn đàn chỉ dành cho người được mời. Dark Web chứa Tor, P2P, diễn đàn hacker, thị trường tội phạm, v.v.
Các diễn đàn phạm tội được quản lý như thế nào? Tạo niềm tin trong môi trường không đáng tin cậy
Cũng giống như bất kỳ hệ sinh thái thương mại nào khác, kẻ tấn công sử dụng các diễn đàn trực tuyến để mua bán dịch vụ hack, họ cố gắng khai thác các lỗ hổng và đột nhập vào hệ thống như một cách để kiếm lợi nhuận. Tuy nhiên, bản thân diễn đàn lại được xây dựng trên cơ sở tội phạm, do đó những diễn đàn này cần tạo được niềm tin giữa các thành viên.
Nói chung, các diễn đàn như vậy ban đầu được thiết kế như sau:
- Admin: Kiểm duyệt diễn đàn.
- Escrow: Tạo điều kiện thanh toán giữa các thành viên.
- Black-list: Người trọng tài giải quyết các vấn đề như thanh toán và chất lượng dịch vụ
- Forum Support: Các hình thức hỗ trợ khác nhau để khuyến khích sự tham gia của cộng đồng.
- Moderators: Trưởng nhóm cho các chủ đề khác nhau.
- Verified Vendors: Nhà cung cấp đã được chứng nhận, không giống như một số nhà cung cấp lừa đảo.
- Regular Forum Members: Các thành viên của nhóm. Họ đã được xác minh trước khi được phép vào diễn đàn để lọc ra những kẻ lừa đảo, cơ quan thực thi pháp luật và các thành viên không liên quan hoặc có nguy cơ cao.
Cùng xem xét một ví dụ về phần mềm độc hại được sử dụng để đánh cắp thông tin cho mục đích ransomware để thấy được các giai đoạn tấn công khác nhau được thể hiện như thế nào trong Dark Web.
Các giai đoạn trước sự cố:
- Data Collection/Thu thập dữ liệu: Các tác nhân đe dọa thực hiện các chiến dịch phần mềm độc hại để đánh cắp thông tin trên toàn thế giới và đánh cắp log về thông tin đăng nhập bị xâm phạm và dấu vân tay của thiết bị (device fingerprints).
- Data Suppliers/Nhà cung cấp dữ liệu: Tác nhân đe dọa cung cấp dữ liệu cho thị trường Dark Web chuyên về thông tin xác thực (credentials) và dấu vân tay thiết bị (device fingerprints) từ các máy tính bị nhiễm phần mềm độc hại.
- Fresh Supply/Nguồn cung cấp mới: Log có sẵn để mua trên thị trường Dark Web.
- Purchase/Mua hàng: Tác nhân đe dọa chuyên truy cập mạng ban đầu tiến hành mua log và xâm nhập vào mạng để leo thang quyền truy cập. Thông tin được mua không chỉ bao gồm thông tin xác thực, nó bao gồm các phiên cookie, lấy dấu vân tay thiết bị và hơn thế nữa. Điều này cho phép kẻ tấn công bắt chước hành vi của nạn nhân để phá vỡ các cơ chế bảo mật như MFA (xác thực đa nhân tố), khiến các cuộc tấn công khó bị phát hiện hơn.
- Auction/Đấu giá: Quyền truy cập được bán đấu giá trong diễn đàn Dark Web và được mua bởi một nhóm đe dọa lành nghề
- Extortion/Tống tiền: Nhóm thực hiện cuộc tấn công, cài ransomware vào tổ chức và tống tiền họ.
Vai trò của HUMINT
Các giải pháp tự động là không thể thiếu để chống lại tội phạm mạng, nhưng để hiểu đầy đủ về lĩnh vực này, cần có trí tuệ con người (HUMINT). Đây là những sĩ quan tội phạm mạng, xuất thân từ các cơ quan thực thi pháp luật, tiến hành đăng nhập vào các diễn đàn và hành động như những kẻ buôn bán.
Ví dụ: Kẻ tấn công đang bán thông tin đăng nhập VPN, nhân viên tội phạm mạng sẽ cố gắng thu hút và hiểu VPN hoặc ứng dụng khách này thuộc về ai.