Clear Web vs. Deep Web vs. Dark Web
Profesionalci za obavještajne podatke o prijetnjama dijele internet u tri glavne komponente:
- Clear Web: Web sredstva koja se mogu pregledati putem javnih tražilica, uključujući medije, blogove i druge stranice i web-mjesta.
- Deep Web: Web stranice i forumi koji nisu indeksirani od strane pretraživača. Na primjer, web-pošta, internet bankarstvo, korporativni intraneti, ograđeni vrtovi, itd. Neki od hakerskih foruma postoje na Deep Web-u i zahtijevaju akreditive za ulazak.
- Dark Web: Web izvori kojima je potreban poseban softver da bi dobili pristup. Ovi izvori su anonimni i zatvoreni, a uključuju Telegram grupe i forume samo sa pozivnicom. Dark Web sadrži Tor, P2P, hakerske forume, kriminalne pijace, itd.
Prema Etay Maoru, glavnom sigurnosnom strategu u Cato Networks, “Vidimo promjenu u načinu na koji kriminalci komuniciraju i vode svoje poslovanje, prelazeći s vrha glečera na njegove niže dijelove. Donji dijelovi omogućavaju veću sigurnost.”
Spotlight: Šta je Tor?
Tor je besplatna mreža, izgrađena na open source, koja omogućava anonimnu komunikaciju. Iako je Tor prvobitno razvio Laboratorij za pomorska istraživanja Sjedinjenih Američkih Država, on je postao sve popularnije rješenje za ilegalne aktivnosti.
Sprovođenje ovih aktivnosti na Clear Web-u može dovesti do praćenja provođenja zakona i omogućiti pronalaženje nazad do kriminalca. Ali kroz Tor, komunikacija je šifrovana kroz tri sloja koji se gule pri svakom skoku čvora sve do izlaska iz mreže. Agencije za provođenje zakona koje prate Tor neće vidjeti IP kriminalca, već izlazni čvor Tor, što otežava pronalaženje originalnog kriminalca.
Arhitektura komunikacije Tor:
Etay Maor dodaje: “U 2000-im, nebesko usklađivanje digitalnih mogućnosti podstaklo je kriminalne napore. Prvo se pojavio Dark Web. Zatim, skrivene i sigurne usluge putem Tor-a. Konačno, kriptovaluta je omogućila sigurne transakcije.”
Kriminalističke usluge dostupne na Dark Web-u
Evo nekoliko primjera usluga koje su u prošlosti bile dostupne na dark web-u. Danas su mnoge od njih skinute. Umjesto toga, kriminalci se kreću ka platformi za razmjenu poruka Telegrama, zbog njenih karakteristika privatnosti i sigurnosti.
Primjer obuhvata-
Prodaja droge:
Usluge lažnih identiteta:
Marketplace za pretraživanje dobavljača, uključujući upozorenje o pokušajima krađe identiteta:
Kako se upravlja kriminalističkim forumima? Stvaranje povjerenja u nepouzdanoj sredini
Napadači pokušavaju da iskoriste ranjivosti i probiju u sisteme kako bi ostvarili profit. Kao i svaki drugi komercijalni ekosistem, oni koriste internetske forume za kupovinu i prodaju usluga hakera. Međutim, ovi forumi treba da stvore povjerenje među članovima, dok su i sami izgrađeni na kriminalu.
Uopšteno govoreći, ovakvi forumi su prvobitno dizajnirani na sledeći način:
- Admin – Definiše forum
- Escrow – Omogućavanje plaćanja među članovima
- Black-list – arbitar za rješavanje pitanja kao što su plaćanja i kvalitet usluge
- Forum Support – Razni oblici pomoći za podsticanje angažovanja zajednice
- Moderators – Vode grupe za različite teme
- Verified Vendors – dobavljači za koje je jamčeno, za razliku od nekih dobavljača koji su prevaranti
- Regular Forum Members – Članovi grupe. Oni su provjereni prije nego što im je dozvoljeno da uđu na forum kako bi filtrirali prevarante, agencije za provođenje zakona i druge nebitne ili rizične članove.
Put od zaraze zlonamjernim softverom do curenja korporativnih podataka na dark web-u
Pogledajmo kako su različite faze napada predstavljene na Dark Web-u, kroz primjer zlonamjernog softvera koji se koristi za krađu informacija u svrhe ransomware-a:
Faze prije incidenta:
1. Prikupljanje podataka – Hakeri vode svjetske kampanje zlonamjernog softvera za krađu informacija i kradu evidencije kompromitovanih akreditiva i otisaka prstiju uređaja.
2.Dobavljači podataka – Hakeri dostavljaju podatke tržištima Dark Weba specijaliziranim za akredative i otiske prstiju uređaja s računara zaraženih malverom.
3.Svježe zalihe – Dnevnici postaju dostupni za kupovinu na tržištu Dark Weba. Cijena trupca obično se kreće od nekoliko dolara do 20 dolara.
Aktivne faze incidenta:
4.Kupovina – Učesnik prijetnje specijaliziran za početni pristup mreži kupuje zapisnike i infiltrira se u mrežu kako bi povećao pristup. Mnogo puta kupljene informacije sadrže više od akreditiva. Uključuje sesije kolačića, uzimanje otiska prsta uređaja i još mnogo toga. Ovo omogućava oponašanje ponašanja žrtve kako bi se zaobišli sigurnosni mehanizmi kao što je MFA, čineći napade težim za otkrivanje.
5.Aukcija – Pristup se prodaje na aukciji na forumu Dark Weba i kupuje ga vješta grupa prijetnji.
Etay Maor napominje: “Aukcije se mogu voditi kao nadmetanje ili kao “Flash”, što znači da haker može odmah kupiti bez konkurencije. Ozbiljne prijetnje, posebno ako ih podržavaju nacionalne države ili su velike kriminalne bande, mogu to iskoristiti mogućnost ulaganja u njihov posao.”
6.Iznuda – Grupa izvodi napad, stavljajući ransomware u organizaciju i iznuđujući ga.
Ovaj put naglašava različite oblasti stručnosti unutar kriminalnog ekosistema. Kao rezultat toga, višeslojni pristup podstaknut operacionalizacijom podataka o prijetnjama može upozoriti i eventualno spriječiti buduće incidente.
Uloga HUMINT-a
Automatska rješenja su neophodna za borbu protiv cyber kriminala, ali za potpuno razumijevanje ovog područja potrebna je i ljudska inteligencija (HUMINT). To su službenici za cyber kriminal, hakeri iz agencija za provođenje zakona koji se prijavljuju na forume i ponašaju se kao trgovački hakeri. Angažman je umjetnost, a takođe mora biti UMJETNOST – djelotvorna, pouzdana i pravovremena.
Pogledajmo neke primjere foruma koje prate službenici za cyber kriminal i kako oni reaguju.
U ovom primjeru, napadač prodaje VPN prijave:
Službenik za cyber-kriminalac pokušat će se angažirati i razumjeti kojem VPN-u ili klijentu ovo pripada.
U drugom primjeru, napadač prodaje Citrix pristup dobavljaču rješenja i usluga IT infrastrukture u Velikoj Britaniji.
Službenik za cyber kriminal mogao bi se javiti kao potencijalni kupac i zatražiti uzorke. Budući da prodavac djeluje s ekonomske tačke gledišta i možda nije u dobroj finansijskoj situaciji (dolazi iz zemalja bivšeg SSSR-a), oni će biti voljni poslati uzorke kako bi promovirali prodaju.
Zaštita od mrežnih napada
Dark Web funkcioniše kao ekonomski ekosistem, sa kupcima, prodavcima, ponudom i potražnjom. Stoga, efikasna zaštita od mrežnih napada zahtijeva višeslojni pristup za svaku fazu napada, kako prije incidenta, tako i tokom samog incidenta. Takav pristup uključuje korištenje automatiziranih alata, kao i HUMINT – umjetnost interakcije s cyber kriminalcima na mreži radi prikupljanja obavještajnih podataka oponašajući način na koji oni rade.
Izvor:The Hacker News