マルウェアはどこにありますか：ハッカーインフラストラクチャと犯罪サービス

すべてのオンラインビジネスには、安定した信頼できるインフラストラクチャが必要です。店舗のウェブサイトが体系的に利用できず、支払いが1回だけ受け入れられると、最先端の広告キャンペーン、市場参入、顧客維持戦略は意味を失います。これはすべて、サイバー犯罪ビジネスにも当てはまります。この投稿では、ハッカーインフラストラクチャがどのように機能し、犯罪サービスの円滑な運用を確保する方法について説明します。







各サイバーグループには、ネットワークインフラストラクチャに関する独自の要件があります。ブルートフォースパスワード、ネットワークスキャン、またはフィッシングメール用の一時サーバーが必要な人もいれば、一連のリバースプロキシの背後に隠された防弾ホスティングが必要な人もいます。ただし、すべての多様性は、いくつかの典型的なシナリオに要約されます。

• 違法または疑わしいコンテンツを含むサイトのホスティング、
• 管理インフラストラクチャホスティング、
• サービスアプリケーションとコンポーネントのホスティング、
• アノニマイザー、フォワードおよびリバースプロキシのホスティング、
• スキャンおよびブルートフォース攻撃専用のサーバー、
• フィッシングとスパミングのためのプラットフォーム。

したがって、犯罪ネットワークインフラストラクチャは、通常、次の領域で構成されます。

• 特別なホスティングサービス、
• 侵害されたサーバーに基づくホスティング、
• 機密性および匿名性サービス、
• DNSサービス。

これらのコンポーネントを詳しく見て、専用のホスティングサービスから始めましょう。

防弾ホスティング

遅かれ早かれ違法行為は、それに関連するリソースが法執行機関の注意の対象となるという事実につながります。次に、これらのリソースのIPアドレスがブロックされ、サーバーが押収され、ドメインが分割されます。この状況は、サイバー攻撃の混乱と新しいインフラストラクチャの編成に費やす必要性につながります。このような状況を回避するために、違法な構造物は警察の要請に影響されないサービスに頼っています。



たとえば、BelizeとSeychellesの法律により、このようなホスティングサービスを提供する企業は、施設でホストされているリソースに関する法執行機関からのすべての要求を無視することができます。その結果、多くの防弾ホスティングサイトがそこでホストされています。



別の例は、刑事ホスティングを民家に配置することです。ウクライナの警察が最近発見して排除したのは、100台を超えるサーバーを含む違法なデータセンターでした。

高速フラックスサービス

Fast-fluxは、ドメイン名の解決をIPアドレスのプールに絶えず切り替えることにより、サービスの可用性と負荷分散を向上させるために使用される完全に合法的なテクノロジーです。このアプローチにより、犯罪者はハッキングや傍受に対する抵抗力を高め、サーバーの場所を隠すことができます。 IPアドレスのプールは、リバースプロキシをチェーンするためによく使用され、レンタルされたクラウドVPS、ボットネットホスト、または侵害されたマシンなど、いくつかのリソースによって提供されます。





中間層サービスとしての高速フラックスの動作。出典（以下、特に記載がない限り）：Trend Micro



fast-flux方式の本質は、DNS Aレコードに短いTTL（存続時間）を使用することです。これにより、ステージングDNSサーバーがドメイン名をキャッシュするのを防ぎ、アドバタイズされたドメインネームシステム（DNS）サーバーからの許可を常に要求するように強制します。 TTL値が低いと、攻撃者はドメインを専用プール内のIPアドレスに高頻度で転送し、一部のアドレスがISPによって侵害または禁止されている場合でも、サービスの可用性を確保できます。





高速フラックス固有のDNSレコード



赤で表示されているTTL値は、再試行回数が異常に少なく、TTL時間が最小（秒単位）で設定されています。通常の状況では、これによりDNSサーバーに追加の負荷がかかりますが、高速フラックスの場合の目標は、キャッシュメカニズムを抑制して、現在「高速フラックス」インフラストラクチャによって提供されている有効なIPアドレスがクライアントに提示されるようにすることです。



高速フラックスサービスは、オペレーターが「高速フロー」インフラストラクチャを提供するためにIPアドレスのプールを維持する必要があり、これには追加コストが必要になるため、防弾ホスティングよりも費用がかかる傾向があります。





高速フラックスサービスの料金は、2つのドメインで月額100ドルですが、防弾サーバーの月額料金は10ドルです。

DDoS保護

サイバー犯罪グループは、法的な組織と同様に互いに競争し、競争の手段として、レイヤー4およびレイヤー7の方法を使用して、競合他社のリソースへのサービス拒否に対する攻撃を手配します。そのため、多くの防弾サービスでは、リソースに使用できるDDoS保護ホスティングまたはDDoS保護サービスを提供しています。



通常、このようなサービスは、WAF（Web Application Firewall）などの保護されたサーバーの前に特殊なリソースを配置することによって提供されます。

侵害されたホストからのVD​​S

侵害されたサーバーは、犯罪収益化ライフサイクルの1つ以上の段階でホスティングに使用されることがよくあります。



コントロールをキャプチャするには、次のように使用します。

• サーバーソフトウェアの脆弱性、
• 総当たり攻撃、
• 盗まれたAPIキー、
• 接続されたサーバーを介してアカウントを盗む、
• フィッシングと不正なキャンペーン。

パスワード推測は通常、SSH、VNC、およびRDPサービスに対する攻撃で使用されます。

ハイジャックされたサーバーにアクセスするための資格情報は、その後、地下のオンラインストアで販売され





ます



。侵害されたRDPサーバーにアクセスするためのオンラインアカウントストア。より安全なサーバーをハイジャックするには、ゼロデイの脆弱性が必要になる場合があります。これはサイバーフォーラムでも提供されます。





FreeBSD、NetBSD、Debian、Fedora、Alpine Linuxを実行しているサーバーを侵害し、それらをホスティングに使用できるOpenSMTPDの脆弱性の販売の発表

クラウドホスティングの侵害

攻撃者の観点からは、GoogleCloudとMicrosoftAzureは非常にアクセスしやすいリソースです。どちらも、アカウントに接続された銀行カードを持つユーザーが無料でサービスを試すことができるためです。これにより、サイバー犯罪者は、接続された銀行カードを使用してGoogleアカウントからデータを積極的に収集し、それらを使用して専用サーバーのインスタンスを起動するようになりました。初心者のハッカー向けに、詳細なチュートリアルが公開されています。





侵害されたGoogleアカウントからGoogle Cloud Hostingを開くためのガイドアカウントを



ハッキングしたくない人のために、すでにハッキングされたMicrosoftAzureアカウントとGoogleCloudアカウントを提供するストアがあります。

ソックス、プロキシ、SSHトンネル

SOCKSとプロキシサービスを使用すると、攻撃者はあまり注目を集めたり、ネットワークセキュリティ監視ツールを介して検出をトリガーしたりすることなく非表示にできます。



このツールの需要を考慮すると、SOCKSプロキシを購入するためのリソースを見つけるのは比較的簡単であり、暗号通貨で購入代金を支払うことができます。





BitcoinとEthereumを使用して支払うことができるSOCKSプロキシの価格表





通信を隠す別の方法は、正当なプロトコルへのトンネリングです。たとえば、SSH：





SSHトンネルの価格表



SSHトンネルのコストは、場所の国によって異なります。場所は、いくつかの違法行為にとって非常に重要です。たとえば、銀行の不正防止システムは、カード所有者に関する情報を、それを使用しようとしたIPアドレスの地理的位置と関連付けます。したがって、犯罪者は、希望する国だけでなく都市にも一致するトンネルを購入するために、より多くのお金を払っても構わないと思っています。

VPNの匿名化

サイバー犯罪環境で求められているもう1つのサービスは匿名VPNであり、この部分ではグループの好みが分かれています。NordVPNやProtonVPNなどの合法的な商用VPNを使用することを好む人もいれば、地下市場で同様のサービスをレンタルする人もいれば、OpenVPN、WireGuard、SoftEtherに基づいて独自にインフラストラクチャを作成する人もいます。 ..。



侵害されたホストがVPNサービスの提供に使用されていることを間接的に示す兆候の1つは、サービスの「可用性保証期間」の兆候です。数値が小さいほど、これらのサービスは疑わしいものになります。正当なVPNプロバイダーが、「提供された資格情報が24時間（48時間または72時間）以内に機能しない場合、新しい資格情報は無料で提供される」という条件で書く可能性はほとんどありません。しかし、これはまさに違法なサービスの提供に通常存在するものです。





ショートライブVPN販売のお知らせ



サービスの匿名化の犯罪的性質の可能性を示すもう1つの疑わしい兆候は、契約期間です。法的なVPNプロバイダーは少なくとも1か月間サービスを提供しますが、犯罪環境では1日以内のVPNサービスがあります。このような短い時間で十分な合法的な使用の事例を想像することは困難です。ただし、犯罪者にとっては、これで十分です。

• 侵害された銀行カードの有効性を確認し、
• 侵害されたアカウントの有効性を確認し、
• クラウドプラットフォームまたはコンテンツホスティングプラットフォームでアカウントを登録し、
• ソーシャルネットワーク上で不正なメールを作成し、
• 悪意のある広告キャンペーンを開始します。

シャドウサイバービジネスのインフラストラクチャの提供は、比較的標準的なサービスに限定されません。広告を調べると、ニッチなクライアントからまだ需要がある、または人気の傾向が高まっている非常に興味深いサービスを見つけることができます。

モバイルワークプレイス

一部のベンダーは、部外者からの保護を希望する人に防弾モバイルワークステーションを提供しています。







このサイトの正式なポリシーではマルウェアの拡散は禁止されていますが、フォーラムで他の悪意のあるアクションが許容される







ことを示唆する広告が見つかりました。提案では、完全な匿名性、ユーザーを特定できないこと、高速インターネット接続、DDoS保護、アウトバウンドトラフィックミキサーなどが言及されています。さまざまなVPN。直接のポートスキャン、ブルートフォース、およびマルウェアの配布は許可されていませんが、攻撃者はそのようなAWPを使用して他の犯罪行為を実行できます。

トラフィックミキサーの匿名化

法執行機関や競合他社の注意深い目から身を隠す方法は、Torだけではありません。堅牢なワークスペースを提供するサービスは、地理的に分散したルーターのネットワークを使用して独自のトラフィックミキサーを開発しました。このトラフィックは、さまざまな国にあるデータセンター間を定期的に移動する匿名VPSのトラフィックと混ざり合っており、そのようなシステムを追跡することはさらに困難になっています。



VPN接続、Tor、および地理的に分散したルーターのセットをバンドルするためのカスタムサービスも利用できます。これらの組み合わせにより、ホストとリダイレクタの複雑なチェーンが作成されるため、追跡することはほとんど不可能です。





トラフィック難読化チェーンの提供



たとえば、サービスの1つは、次のチェーンの使用を提供します。

ホスト→VPN1→VPN2→TOR→トラフィックをバウンスするためのゲートウェイ→トラフィックミキサー→トラフィックをバウンスするための地理的に分散したルーター→作業用のリモートデスクトップ（RDP）→他の地理的に分散したルーターを介した接続→Torサーバー→出力ノード→宛先。

結論

私たちの調査によると、サイバー犯罪インフラストラクチャは、多くの研究者が想定しているよりも大幅に進んでいます。この特定の要素は、犯罪ビジネスの最も成熟した側面の1つであると私たちは信じています。ネットワークワームはトロイの木馬に取って代わられ、ブラウザは標的を絞ったフィッシング攻撃に悪用され、完全な強奪は情報盗難のビジネスモデルに取って代わりつつあります。ただし、これらすべてのアクションの基礎となるインフラストラクチャは引き続き需要があり、絶えず進化しており、技術的に洗練された新しいサービスを提供しています。



サイバー犯罪者は、法執行機関からできるだけ長く隠れながら行動できる信頼性の高いサービスを必要としています。この需要は、間接的に犯罪者を支援しながら、サイバー犯罪者に対応する準法務サービスの業界全体を生み出しました。問題は、信頼性が高く追跡不可能なホスティングサービスを提供すること自体が違法ではないということです。この問題を解決することは、グローバルな問題としてサイバー犯罪と戦っている人々にとって非常に重要な問題です。