Nie tylko Darknet, gdzie analitycy bezpieczeństwa szukają informacji o cyberzagrożeniach?
Przykładowo, analitycy z FortiGuard Labs firmy Fortinet korzystają z milionów zainstalowanych na całym świecie czujników sieciowych, honeypotów, raportów o stanie cyberbezpieczeństwa, czy też informacji udostępnianych przez specjalistów ds. bezpieczeństwa, dostawców usług ochronnych, organizacje rządowe i firmy partnerskie.
Korzystanie z Darknetu
Jednym z najczęściej wykorzystywanych źródeł danych o zagrożeniach jest również Darknet, gdzie często prowadzone są dyskusje o złośliwych narzędziach, kwitnie handel złośliwym oprogramowaniem w wersji usługowej (np. ransomware czy narzędzia do przeprowadzania ataków DDoS). Wiele z istniejących w Darknecie forów wymaga od badaczy ominięcia licznych zabezpieczeń, aby uzyskać do nich dostęp. Niektóre są płatne, inne oczekują poręczenia ze strony dotychczasowych użytkowników, czasami trzeba zademonstrować swoje umiejętności tworzenia złośliwego kodu.
Badaczy bezpieczeństwa, tzw. „etycznych hakerów”, obowiązują ścisłe zasady zaangażowania w taki proceder. Stanowią one, że nigdy nie powinni oni płacić za informacje, tworzyć złośliwego kodu, ani nawet nie uczestniczyć zdalnie w czymś nielegalnym lub nieetycznym.
Gdzie jeszcze szukać informacji o zagrożeniach?
Twitter: Wiele osób codziennie „ćwierka” o nowych stronach czy forach internetowych poświęconych zagrożeniom, wskazuje lokalizacje, w których można znaleźć złośliwe kody itp. Co więcej, podmioty odpowiedzialne za zagrożenia i hakerzy czasami komunikują się bezpośrednio na platformie. Jednak potrzeba czasu, aby dowiedzieć się, którzy użytkownicy są wiarygodni i których warto śledzić.
Pastebin: Jest to usługa hostingu treści online, gdzie użytkownicy mogą anonimowo wprowadzać i przechowywać fragmenty kodu źródłowego przez ograniczony czas. Pastebin stał się ostatnio nieco trudniejszy w użyciu ze względu na sposób, w jaki udostępniane są publiczne „pasty”. Cyberprzestępcy często umieszczają na tej stronie informacje o wyciekach danych.
IntelX: Jest to narzędzie używane przez zaawansowanych łowców zagrożeń. Jest podobne do Pastebina, ale pozwala również na wyszukiwanie e-maili, domen i adresów portfeli kryptowalut. Zapewnia także użyteczny interfejs API, dzięki któremu badacze mogą zautomatyzować swoje poszukiwania.
GitHub: Znajduje się tam mnóstwo narzędzi ochronnych, które są tworzone dlai badaczy. Można tam znaleźć próbki zestawów narzędzi ransomware, trojany zdalnego dostępu (RAT), zestawy do ataków socjotechnicznych i wiele innych narzędzi, które służą „etycznym hakerom” do testowania zabezpieczeń, a które napastnicy mogli wykorzystywać lub modyfikować do przestępczych celów.
– Przedstawiciele branży cyberochronnej automatycznie wyszukują te narzędzia, a także przeprowadzają ich testy w celu zapewnienia, że możemy wykryć i powstrzymać generowane przez nie ataki – wyjaśnia Aamir Lakhani z FortiGuard Labs. – Specjaliści przestrzegają przy tym rygorystycznych zasad, według których można przeprowadzać tylko zatwierdzone audyty bezpieczeństwa za pomocą tych narzędzi i w żadnych innych okolicznościach.
Wyszukiwarki: Wyszukiwarki w Darknecie są dla analityków z pewnością cennym źródłem wiedzy. Zazwyczaj potrzeba jednak czasu na opracowanie techniki wyszukiwania odpowiednich informacji,
Darknet Marketplace: Są to „podziemne” wersje serwisów e-commerce, na których można przeglądać i kupować towary oraz usługi. Większość z tych ofert jest zazwyczaj związana z narkotykami. Jednak przeglądając sekcje z oprogramowaniem – złośliwym lub nie – często można natrafić na nowe narzędzia, jak trojany zdalnego dostępu (RAT), botnety w modelu usługowym (np. botnet Zeus), czy narzędzia do cryptojackingu.
Większość złośliwego oprogramowania spotykanego na tych rynkach jest tania, ponieważ jest ono stare, sprzedawane hurtowo i zazwyczaj powinno być wykryte przez większość programów ochronnych. Nie powstrzymuje to jednak przestępców przed próbami masowego korzystania z tych usług lub modyfikowania oprogramowania w taki sposób, aby było niewykrywalne przez narzędzia ochronne.
Czytaj także: Cyberprzestępcy szukają nowych dochodowych celów i technologii >>>
„Etyczni hakerzy” mogą próbować śledzić sprzedawcę, używając jego identyfikatora użytkownika, danych kontaktowych, a może nawet adresu jego portfela kryptowalut, aby dowiedzieć się, w jaką inną działalność przestępca może być zaangażowany. Jest to dość trudne, ponieważ wielu użytkowników Darknetu zmienia swoje identyfikatory, generuje nowe adresy portfeli kryptowalut lub używa takich walut jak Monero, gwarantujących najwyższy poziom anonimowości.
W Darknecie można też często natknąć się na zbiory danych, które zawierają nazwy użytkowników różnych serwisów, nazwiska, hasła i inne informacje. Z reguły pochodzą one z wykradzionych baz danych, z których wyciekały hasła lub inne wrażliwe informacje osobiste
Fora cyberprzestępców: Śledzenie ich pozwala analitykom zrozumieć, co jest interesujące dla hakerów. Dostanie się do umysłu przestępcy nie tylko umożliwia badaczom zagrożeń przewidywanie niebezpieczeństwa i poszczególnych kroków podejmowanych w ramach ataku, ale także pozwala rozpocząć profilowanie niektórych cyberprzestępców. Większość hakerów na darknetowych forach jest motywowana nie tylko korzyściami finansowymi. Chcą oni również reklamować swoją wiedzę i umiejętności. Ale, w przeciwieństwie do popularnego przekonania (utrwalanego w filmach hollywoodzkich), prawdopodobnie nie udałoby się spotkać tam kontaktujących się ze sobą szpiegów z dwóch rywalizujących ze sobą państw.
Na koniec warto podkreślić, że ze względu na ryzyko nieodłącznie związane z przeglądaniem sieci Darknet, w tym infekcję złośliwym oprogramowaniem i kradzież danych, zdecydowanie zalecane jest, aby pozostawić te czynności specjalistom ds. cyberbezpieczeństwa.