[调研]恶意爬虫自动化交易市场成数据泄露源头

数据泄露

2年前

按市场划分的登录凭证供应情况

图源：Cognyte报告《暗网恶意爬虫自动化交易市场的兴起》

　　网络犯罪地下市场新盛，攻击者不必费心寻找就能买到中意的恶意软件、被盗财务/医疗数据、黑客工具等等。安全分析公司Cognyte在新近发布的报告中表示，随着攻击者越来越依赖被盗密码或遭泄露登录凭据进行网络攻击，许多网络犯罪团伙开始在恶意爬虫自动化交易市场上采购此类资源。

　　恶意爬虫自动化交易市场指的是售卖被盗登录凭证的自动化商店，Cognyte揭示了2021年最为活跃的四个恶意爬虫自动化交易市场：2easy、Amigos、Genesis和Russian Market。在研究中，Cognyte分析了2019到2021年间被盗的近530万个登录凭证，其中73%都是在2021年收集的。2021年摆上货架的登录凭证绝大部分出现在Russian Market市场上，占所有凭证的71%。

　　去年视频游戏发行商Electronic Arts遭遇数据泄露事件，导致视频游戏FIFA 21的敏感数据和源代码流出。据称攻击者就是从Genesis Market购买了该公司内部Slack环境的访问权限。攻击者花10美元购买了一个Slack凭证，登录进去后说服该公司IT人员授予其内网其他区域的访问权限。在Cognyte的研究中，2021年恶意爬虫自动化交易市场所售登录凭证中仅5%是经由Genesis Market售出的。

　　2020和2021年大部分时间里，Genesis每月售出2到3万个登录凭证，其销售峰值出现在2020年1月份，当时售出了52,004条记录。

　　信息盗取器向这些恶意爬虫自动化交易市场提供了大量商品。信息盗取器是从受感染系统收集特定信息的恶意软件，例如系统登录用户名和密码、应用访问凭据、网站登录信息、支付卡信息和加密货币钱包等等。有些信息盗取器可以收集受感染系统的指纹信息，比如所装硬件和软件应用的类型、IP地址和配置设置等，攻击者可以使用这些信息冒充受感染系统。

　　不是每个市场都会暴露所售登录凭证背后的信息盗取器，但Cognyte的分析揭示了其中最为活跃的五种：AZORult、Racoon、Redline、Taurus和Vidar。这些信息盗取器在网络犯罪论坛上出售，价格在几美元到几百美元之间。有些甚至提供订阅模式。

　　Cognyte表示，这几种信息盗取器的使用率在这一年间各领风骚。2021年初，Vidar是最常用的信息盗取器，Taurus略逊一筹。2021年3月，Racoon以152,508条记录拔得头筹。到了2021年4月，Redline后来居上，并将其最常用信息盗取器的名号保持到了年末。2021年里，Redline贡献了所分析被盗登录凭证的32%。