初始访问代理：深入分析

收入12联系我们 22什么是IAB？ 5获取价格 18目录目标行业10执行摘要访问类型13安全产品19结论20国家8沉浸式简介4 5 3初始访问中介报告2 执行摘要初始接入代理（IAB）是指渗透网络、系统或组织并将这种未经授权的访问权限出售给其他恶意行为者的威胁行为者。IAB不会执行整个网络攻击，而是专注于初次入侵并通过出售受感染系统的访问权限来获利。它们通过简化攻击和在启动阶段减少工作量，协助勒索软件操作，尤其是RaaS（勒索软件即服务）方案。2024年IABs最目标行业大多数IAB帖子在企业接入方面的价格范围在500美元到2000美元之间，尽管偶尔会出现价值超过10,000美元的高价值 listings。防范IAB需要采用多层次的安全方法，实施技术和组织措施以最大限度地减少漏洞。该报告基于赛富时研究团队过去一年半对主要暗网论坛的数据分析，强调美国是2023年IAB的主要目标，超过48%的攻击针对该国。2024年，法国和巴西成为日益频繁的目标。IAB针对多个行业，商业服务领域是受攻击最频繁的行业，与勒索软件趋势相似。零售业在2023年和2024年一直保持在前3名，但制造业在2024年成为越来越频繁的目标，从2023年的14%上升至2024年的23%。2024年，大型组织由于收入潜力高而成为最主要的目标。攻击者越来越多地针对年收入超过10亿美元的机构，占所有初始访问列表出售的27%。这使得IAB攻击的平均收入增加到19,613,354,065.50美元，增长了1000%。2024年IAB目标国家最多目前驱动大多数勒索软件攻击的IAB主要有三种类型。2023年，通过暴露的远程桌面协议（RDP）提供服务器的IAB最为常见（>60%）。然而，2024年，VPN访问量激增，挑战RDP访问的榜首位置（45% VPN vs. 41% RDP）。 42%19%9%36%1,000%初始访问中间商报告3美国法国巴西商务服务平均收入增加IAB攻击 简介勒索软件攻击、数据泄露、泄露、间谍活动和其他重大网络安全事件经常源于从暗网论坛和市场购买的网络访问。网络犯罪分子如何获取这种访问权限？他们从初始访问中间商（IAB）购买。Iabs是专门进行网络、系统侵入的犯罪分子或团伙组织然后向其他恶意行为者出售这种访问权限。而不是执行整个网络攻击本身，IABs专注于初始突破，他们通过这种方式将其货币化。然后出售对受损系统的访问权。本报告重点介绍了赛富时研究团队过去一年分析的数据。一半，从暗网上的知名地下论坛和市场集散地收集而来。数据包含我们从单个列表中提取的所有信息，使我们能够深入研究进入详细信息，如目标国家、行业、平均价格、组织收入，正在使用的安全产品、主机数量等。 初始接入代理商报告4 什么是IAB？通过出售访问权限而不是亲自发动攻击，IABs降低了执行勒索软件攻击相关的风险，转而专注于突破网络并利用其专业知识。一个初始访问中间人（IAB）是一个专门入侵计算机系统和网络的威胁行为者，然后将未授权访问出售给其他恶意行为者。IAB擅长识别和利用安全漏洞，向勒索软件团伙和其他威胁行为者提供服务。IAB通过充当中间人来延续恶意活动，并使进入受损系统成为可能。iabs擅长利用常见的黑客技术以非授权方式获取网络访问权限，利用社会工程攻击、暴力破解攻击和其他攻击向量。iab服务的报价取决于目标的大小和类型以及提供的访问类型等因素。Iabs主要在暗网论坛和地下市场运营，可以作为独立行动者，也可以成为更大组织的一部分，例如勒索软件即服务（ransomware-as-a-service，简称raas）团伙。他们的客户是具有恶意意图的团伙，他们利用购买到的访问权限发动勒索软件攻击、执行数据泄露，并从事其他恶意活动——通常是为了获取经济利益。 Iab 的风险这种直接合作不仅使RaaS组织受益，也帮助了IABs。正如Ransomware.org所说，为RaaS组织工作的IABs不需要在地下论坛上公开推广他们的服务。他们已经有稳定的工作，所以没有必要为自己做更多营销。这还有一个额外的好处，那就是减少了公众的可见性，当执法部门关闭一个市场并追究其成员时，这可以提供掩护。与某些RaaS组织合作，与IABs合作的好处更进一步。证据表明，一些IAB直接为勒索软件组织或RaaS组织的附属机构工作。这显著加快了勒索软件攻击的速度，因为附属机构可以利用获取的访问权限，几乎可以立即发动攻击，而不是浪费时间来获取访问权限。IAB将访问权限传递给附属机构，然后附属机构发起攻击，感染受害者的网络，并反过来将事情转交给操作的其它部分来获利。通常情况下，僵尸网络帮助勒索软件行动，尤其是勒索服务方案，来简化他们的攻击并在攻击初期减少工作量。僵尸网络承担了寻找目标和获取访问权限的繁重工作。通过这种方式，它们使得勒索软件组织能够大规模地发起攻击，因为他们不用浪费时间试图在目标网络中建立立足点。他们可以通过僵尸网络立即获取那种访问权限，然后着手加密受害者的数据。 初始访问代理商报告 6 图1：美国公司地下销售沉浸式初始访问中介（IABs）在勒索软件攻击和数据漏洞，随着勒索软件即服务（RaaS）的兴起，变得越来越重要。他们的服务需求量很大，这一点从不断增多的暗网列表中可以看出近年来。这些中介机构通常会宣传获取被入侵的组织的模糊细节，吸引勒索软件运营商、国家支持的行为者以及黑客活动家寻找潜在目标。网络犯罪论坛上的列表通常遵循某些规范：供应商避免直接命名目标组织，以保护受害者在他们出售访问权限之前，他们不知道自己的妥协。相反，他们提供了一个模糊的描述，通常提到受害者的位置、行业、收入以及类型访问权限的级别正在出售，以及诸如数量等技术细节员工、主机、使用的杀毒软件和可访问的数据。一些IAB单独销售访问权限，而其他人则提供捆绑服务。高度受信任的IAB可能根本不宣传特定访问权限，依靠置顶帖来表明他们出售初始访问权限，要求感兴趣的买家私下联系他们以获取更多信息。在许多俄罗斯论坛上，供应商经常使用犯罪黑话和其他书写惯例，以进一步向外界模糊细节。让我们看一下下面的例子（图1），其中有一个来自知名黑市的熟悉卖家俄罗斯黑客论坛正在出售一家美国公司的访问权限。通过RDP会话访问，使用Citrix平台连接。此外，我们可以看到收入和行业（由于安全原因被模糊处理），特权（域名）(user), 以及主机数量，这是员工和机器数量的指标并且对于活动目录的用户。该访问权限的价格为1200美元。 初始接入代理商报告7 50100150200250国家图2：2023年出售的访问量，H1和H2之间的比较初始访问代理，就像其他网络犯罪分子（例如勒索软件团伙）一样，会精心选择他们的目标。他们专注于那些竞争最激烈的市场，在这些市场中他们获得访问权限并高价出售的机会最大，同时最大化其吸引力。是的，你猜对了——美利坚合众国是他们的主要目标。美国是几乎所有网络安全事件中最被针对的国家。从下图可以看出，2023年美国仍然是初始访问中介机构首选的目标国家。 077225151013148888868136125150初始接入商报告8出售商品：H1与H2 2023美国英国澳大利亚 以色列 巴西 意大利德国 法国沙特阿拉伯土耳其H1H2 42%19%9%8.3%4.1%2024年第一季度 - IABs最受目标国家宝贵数据：图3：2024年上半年IABs最目标国家高价值目标：经济与科技力量：初始接入代理报告9美国法国巴西印度意大利美国公司和政府机构存储了大量个人信息、知识产权和机密信息。窃取或篡改这些信息对网络犯罪分子、外国政府或黑客活动家来说可能极具价值。如所观察到，在2024年上半年，针对美国组织的趋势继续超过世界上任何其他国家（见图3）。值得注意的是，法国已进入前十名，以50个独特的初始访问清单可用于针对当地组织而 securing 第二名。美国拥有世界上许多最大和最具影响力的公司、金融机构和技术公司。这些实体掌握着大量敏感数据、知识产权和金融资产，使其成为网络犯罪分子的诱人目标。美国组织在网络安全攻击中最常成为目标，而且正如我们所见，由于几个原因，它们也最受IAB的威胁：公共部门和私营部门都存在许多高价值目标，包括政府机构、跨国公司和金融机构，这使得美国成为网络攻击的主要目标。 目标行业一个组织在初次上市出售时的行业可以提供几个重要的见解： 供应链影响：访问的潜在价值：检测和响应的可能性:收入和财务资源：在一个关键行业中，获取对某个组织的访问权限可能会在整个供应链中产生连锁反应。例如，针对制造业的一个公司可能会扰乱生产线，影响下游的多个企业。不同行业的数据敏感程度、财务资源和运营影响程度各不相同。例如，对于金融、医疗保健或关键基础设施等行业中持有敏感数据的组织，获取其访问权限对日常运营至关重要，这使得它们的价值更高，并成为进一步剥削或勒索软件攻击的主要目标。某些行业，特别是那些处于高度监管环境中的行业，如金融或国防，可能采取了更完善的网络安全措施。这可能影响访问未被发现的便捷程度以及快速响应的潜力。行业通常与组织的收入和财务资源相关。像技术、石油和天然气或制药业这样高收入的行业可能更愿意支付更高的赎金来恢复控制权，从而使得获取（这些行业的信息）更有价值。 29%21%19%17%14%36%18%14%23%9%图4：2023年初始接入代理商排名前五的行业初始访问中介报告 11图 5：2024年初始接入商排名前五的行业2023年IAB前五大目标行业商业服务金融零售技术制造2024年IAB重点目标行业前五名商业服务制造零售技术教育iabs的目标行业多样，其中商业服务领域是受攻击最频繁的，这与勒索软件领域的趋势相似。然而，需要注意的是，这些数字可能无法完全反映实际情况，因为一些条目缺乏关于行业的详细信息，这可能会改变统计数据。但话说回来，超过75%的条目确实包含了部门名称，为这些统计数据提供了坚实的基础。2024年，商务服务业继续作为最受目标行业，而金融业则大幅下降，与2023年上半年每个半年的平均挂牌数量相比减少了50%。此外，教育行业今年成为更频繁的目标，上升至第五位。 收入图7：2023年按收入区间划分的组织分布图6：各IAB的目标组织平均收入收入可能是买方在从卖方购买访问权限之前要查看的关键领域。收入提供了公司规模的一个指标。更高的收入通常表明该公司具有较强的市场地位、庞大的客户群或广泛的产品或服务。此外，收入反映了公司产品或服务的需求。通常，威胁行为者会从知名数据源提供者（如ZoomInfo）获取收入数据。根据我们2023年收集的数据，我们发现可以将目标组织的收入分为4个大类，如下图表所示。因此，最大的组织成为访问代理商更热门的目标，这主要是因为他们可以提高要求的价格从而增加收入。毫不奇怪，我们看到针对大型组织的这种目标趋势发生在2024年，伴随着1.9613354065亿美元的平均收入，这意味着增长了约1000% $2,000,000,000.00$1,500,000,000.00$1,000,000,000.00$500,000,000.00$$280,110,000.00$181,825,000.00$1,961,335,406.5027%27%23%23%初始接入代理商报告122023年按收入区间的组织分布目标组织按IAB划分的平均收入H1 2023 H2 2023H1 2024小于10M$10M - $100M$100M - $1B超过10亿美元 0%5%10%15%20%25%30%35%18%19%27%33%22%28%33%20%初始访问经纪人报告13访问类型图 8：2024 年两个季度按收入区间的组织分布在目标组织中。低于$10M $10M - $100M $100M - $1B 高于$1BQ1Q2Iabs提供各种类型的访问权限和特权，以受感染的系统和网络。这些访问类型和权限在它们能允许买方做什么方面可能会有很大差异2024 - Q1 与 Q2 - 按收入区间组织的分布此外，过去一年半来按收入