Nie tylko Darknet, gdzie analitycy bezpieczeństwa szukają informacji o cyberzagrożeniach?

Nie tylko Darknet, gdzie analitycy bezpieczeństwa szukają informacji o cyberzagrożeniach?
Fot. stock.adobe.com/Bits and Splits
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Analiza i wykrywanie cyberzagrożeń pozwala przedsiębiorstwom i instytucjom przygotować się na ataki oraz łagodzić ich skutki. W miarę rozwoju przestępczych narzędzi staje się to coraz większym wyzwaniem, a liczba i stopień zaawansowania ataków wciąż rośnie. Aby lepiej zrozumieć techniki stosowane przez cyberprzestępców, poznać nowe rodzaje złośliwego oprogramowania i potencjalne cele, analitycy bezpieczeństwa śledzą wiele różnych źródeł, w których mogą natknąć się na ślady działania cyberprzestępców.
Aby lepiej zrozumieć techniki stosowane przez cyberprzestępców, analitycy bezpieczeństwa śledzą wiele różnych źródeł, w których mogą natknąć się na ślady działania hakerów #cyberbezpieczeństwo #Darknet @Fortinet

Przykładowo, analitycy z FortiGuard Labs firmy Fortinet korzystają z milionów zainstalowanych na całym świecie czujników sieciowych, honeypotów, raportów o stanie cyberbezpieczeństwa, czy też informacji udostępnianych przez specjalistów ds. bezpieczeństwa, dostawców usług ochronnych, organizacje rządowe i firmy partnerskie.

Korzystanie z Darknetu

Jednym z najczęściej wykorzystywanych źródeł danych o zagrożeniach jest również Darknet, gdzie często prowadzone są dyskusje o złośliwych narzędziach, kwitnie handel złośliwym oprogramowaniem w wersji usługowej (np. ransomware czy narzędzia do przeprowadzania ataków DDoS). Wiele z istniejących w Darknecie forów wymaga od badaczy ominięcia licznych zabezpieczeń, aby uzyskać do nich dostęp. Niektóre są płatne, inne oczekują poręczenia ze strony dotychczasowych użytkowników, czasami trzeba zademonstrować swoje umiejętności tworzenia złośliwego kodu.

Czytaj także: Darknet, tokeny, Zcash, Monero, Hawala: Niemcy wiedzą, jak zwalczać pranie brudnych pieniędzy >>>

Badaczy bezpieczeństwa, tzw. „etycznych hakerów”, obowiązują ścisłe zasady zaangażowania w taki proceder. Stanowią one, że nigdy nie powinni oni płacić za informacje, tworzyć złośliwego kodu, ani nawet nie uczestniczyć zdalnie w czymś nielegalnym lub nieetycznym.

Gdzie jeszcze szukać informacji o zagrożeniach?

Twitter: Wiele osób codziennie „ćwierka” o nowych stronach czy forach internetowych poświęconych zagrożeniom, wskazuje lokalizacje, w których można znaleźć złośliwe kody itp. Co więcej, podmioty odpowiedzialne za zagrożenia i hakerzy czasami komunikują się bezpośrednio na platformie. Jednak potrzeba czasu, aby dowiedzieć się, którzy użytkownicy są wiarygodni i których warto śledzić.

Pastebin: Jest to usługa hostingu treści online, gdzie użytkownicy mogą anonimowo wprowadzać i przechowywać fragmenty kodu źródłowego przez ograniczony czas. Pastebin stał się ostatnio nieco trudniejszy w użyciu ze względu na sposób, w jaki udostępniane są publiczne „pasty”. Cyberprzestępcy często umieszczają na tej stronie informacje o wyciekach danych.

IntelX: Jest to narzędzie używane przez zaawansowanych łowców zagrożeń. Jest podobne do Pastebina, ale pozwala również na wyszukiwanie e-maili, domen i adresów portfeli kryptowalut. Zapewnia także użyteczny interfejs API, dzięki któremu badacze mogą zautomatyzować swoje poszukiwania.

GitHub: Znajduje się tam mnóstwo narzędzi ochronnych, które są tworzone dlai badaczy. Można tam znaleźć próbki zestawów narzędzi ransomware, trojany zdalnego dostępu (RAT), zestawy do ataków socjotechnicznych i wiele innych narzędzi, które służą „etycznym hakerom” do testowania zabezpieczeń, a które napastnicy mogli wykorzystywać lub modyfikować do przestępczych celów.

– Przedstawiciele branży cyberochronnej automatycznie wyszukują te narzędzia, a także przeprowadzają ich testy w celu zapewnienia, że możemy wykryć i powstrzymać generowane przez nie ataki – wyjaśnia Aamir Lakhani z FortiGuard Labs. – Specjaliści przestrzegają przy tym rygorystycznych zasad, według których można przeprowadzać tylko zatwierdzone audyty bezpieczeństwa za pomocą tych narzędzi i w żadnych innych okolicznościach.

Wyszukiwarki: Wyszukiwarki w Darknecie są dla analityków z pewnością cennym źródłem wiedzy. Zazwyczaj potrzeba jednak czasu na opracowanie techniki wyszukiwania odpowiednich informacji,

Darknet Marketplace: Są to „podziemne” wersje serwisów e-commerce, na których można przeglądać i kupować towary oraz usługi. Większość z tych ofert jest zazwyczaj związana z narkotykami. Jednak przeglądając sekcje z oprogramowaniem – złośliwym lub nie – często można natrafić na nowe narzędzia, jak trojany zdalnego dostępu (RAT), botnety w modelu usługowym (np. botnet Zeus), czy narzędzia do cryptojackingu.

Większość złośliwego oprogramowania spotykanego na tych rynkach jest tania, ponieważ jest ono stare, sprzedawane hurtowo i zazwyczaj powinno być wykryte przez większość programów ochronnych. Nie powstrzymuje to jednak przestępców przed próbami masowego korzystania z tych usług lub modyfikowania oprogramowania w taki sposób, aby było niewykrywalne przez narzędzia ochronne.

Czytaj także: Cyberprzestępcy szukają nowych dochodowych celów i technologii >>>

„Etyczni hakerzy” mogą próbować śledzić sprzedawcę, używając jego identyfikatora użytkownika, danych kontaktowych, a może nawet adresu jego portfela kryptowalut, aby dowiedzieć się, w jaką inną działalność przestępca może być zaangażowany. Jest to dość trudne, ponieważ wielu użytkowników Darknetu zmienia swoje identyfikatory, generuje nowe adresy portfeli kryptowalut lub używa takich walut jak Monero, gwarantujących najwyższy poziom anonimowości.

W Darknecie można też często natknąć się na zbiory danych, które zawierają nazwy użytkowników różnych serwisów, nazwiska, hasła i inne informacje. Z reguły pochodzą one z wykradzionych baz danych, z których wyciekały hasła lub inne wrażliwe informacje osobiste

Fora cyberprzestępców: Śledzenie ich pozwala analitykom zrozumieć, co jest interesujące dla hakerów. Dostanie się do umysłu przestępcy nie tylko umożliwia badaczom zagrożeń przewidywanie niebezpieczeństwa i poszczególnych kroków podejmowanych w ramach ataku, ale także pozwala rozpocząć profilowanie niektórych cyberprzestępców. Większość hakerów na darknetowych forach jest motywowana nie tylko korzyściami finansowymi. Chcą oni również reklamować swoją wiedzę i umiejętności. Ale, w przeciwieństwie do popularnego przekonania (utrwalanego w filmach hollywoodzkich), prawdopodobnie nie udałoby się spotkać tam kontaktujących się ze sobą szpiegów z dwóch rywalizujących ze sobą państw.

Na koniec warto podkreślić, że ze względu na ryzyko nieodłącznie związane z przeglądaniem sieci Darknet, w tym infekcję złośliwym oprogramowaniem i kradzież danych, zdecydowanie zalecane jest, aby pozostawić te czynności specjalistom ds. cyberbezpieczeństwa.

Źródło: Fortinet