研究人员分享了在黑暗网络上发现匿名勒索软件网站的技术

网络安全研究人员详细介绍了勒索软件行为者为掩盖其在线真实身份以及网络服务器基础设施的托管位置而采取的各种措施。

思科Talos研究人员Paul Eubanks表示：“大多数勒索软件运营商使用其原产国以外的托管提供商（如瑞典、德国和新加坡）托管其勒索软件运营网站”。“当他们连接到勒索软件网络基础设施以执行远程管理任务时，他们使用VPS跃点作为代理来隐藏其真实位置”。

还突出的是使用TOR网络和DNS代理注册服务为其非法操作提供额外的匿名层。

但这家网络安全公司上周透露，通过利用威胁行为人的操作安全失误和其他技术，它能够识别托管在公共IP地址上的隐藏服务，其中一些是以前未知的基础设施，与DarkAngels、Swatch、Quantum和Nokoyawa勒索软件集团有关。

众所周知，勒索软件集团依赖于黑网来隐藏其非法活动，从泄露被盗数据到与受害者协商付款，塔洛斯透露，它能够识别“与黑网上的公共IP地址承载相同的威胁主体基础设施”。

“我们用于识别公共互联网IP的方法涉及将威胁参与者的[自签名]TLS证书序列号和页面元素与公共互联网上的索引进行匹配，”Eubanks说。

除了TLS证书匹配之外，用于发现对手清晰网络基础设施的第二种方法需要使用Shodan等网络爬虫根据公共互联网检查与darknet网站相关的Favicon。

在Nokoyawa的案例中，今年早些时候出现了一种新的Windows勒索软件，它与Karma有很大的代码相似性，TOR hidden service上托管的网站被发现存在一个目录遍历漏洞，使研究人员能够访问用于捕获用户登录的“/var/log/auth.log”文件。

 

对成功的根用户登录的进一步分析表明，它们来自两个IP地址5.230.29[.]12和176.119.0[.]195，前者属于GHOSTnet GmbH，一家提供虚拟专用服务器（VPS）服务的主机提供商。

"176.119.0[.]然而，195属于AS58271，其名称为Tyatkova Oksana Valerievna，”Eubanks指出操作员可能忘记使用基于德国的VPS进行模糊处理，并直接从176.119.0[]的真实位置登录到此web服务器的会话195."

LockBit在其改进的RaaS操作中添加了一个bug悬赏程序

此外，LockBit勒索软件集团上周宣布发布了LockBit 3.0，消息是“让勒索软件再次伟大！”此外，他们还推出了自己的漏洞悬赏计划，为发现安全漏洞和改进软件的“绝妙想法”提供1000至100万美元不等的奖励。

Tenable高级职员研究工程师萨特南·纳朗（Satnam Narang）在与《黑客新闻》（Hacker News）分享的一份声明中表示：“随着漏洞悬赏计划的推出，LockBit 3.0的发布是对网络犯罪分子的正式邀请，以帮助该组织保持领先地位”。

“漏洞悬赏计划的一个关键重点是防御措施：防止安全研究人员和执法部门在其泄露网站或勒索软件中发现漏洞，确定包括附属计划老板在内的成员可能被欺骗的方式，以及在集团用于内部通信的消息传递软件和Tor网络本身中发现漏洞”。

“被篡改或被识别的威胁表明，执法工作显然是像LockBit这样的团体的一大担忧。最后，该团体正计划将Zcash作为一种支付选项，这一点意义重大，因为Zcash比比特币更难追踪，使研究人员更难跟踪该团体的活动”。