Genesis Market售賣的特色産品“附帶浏覽器指紋的憑證”,使得許多身份防禦措施失效。
前情回顧·打擊網絡犯罪前線
- 全球最大暗網黑市被查封:超50億美元贓款通過數字貨币交易
- 打擊勒索軟體重大勝利!俄美聯手,俄羅斯成功搗毀REvil團夥
- DarkSide勒索軟體伺服器被查封,營運終止
- 涉案數千萬美元的勒索軟體NetWalker官網被查封
安全内參4月6日消息,美國聯邦調查局(FBI)牽頭、十餘個國際合作夥伴參與聯合執法行動,查封了全球最重要的網絡犯罪平台之一Genesis Market。
作為犯罪分子的一站式商店,Genesis Market銷售被盜憑證和資料武器化工具,與全球數百萬起出于經濟動機的網絡事件有關,包括網絡欺詐、勒索軟體攻擊等。
Genesis Market網站的登入頁面現已被題為“Operation Cookie Monster”的新頁面取代,其中明确提到該市場已被查封。Genesis組織在暗網和正常網絡分别維護有網站。
外媒體The Record了解到,全球範圍内也在進行大規模逮捕行動。
最大特色:
售賣附帶浏覽器指紋的憑證
威脅情報廠商Recorded Future的分析師Alexander Leslie表示,Genesis Market憑借着獨特的“服務内容”,從Russian Market和2easy Shop等憑證銷售市場中脫穎而出。
與其他同類市場不同,Genesis Market為犯罪分子提供“殭屍電腦”(bot)或“浏覽器指紋”的通路權限,使得他們可以冒充受害者的網絡浏覽器——包括IP位址、會話cookie、作業系統資訊和插件等。
Leslie表示,利用這些指紋資訊,犯罪分子可以通路Netflix、亞馬遜等訂閱平台乃至線上銀行服務,且不會觸發“使用者XX為何會在印度登入?”之類的安全警報。使用者甚至可以成功繞過多重身份驗證。
“之是以說Genesis Store上的指紋資訊與衆不同,是因為其能夠模拟受害者的浏覽器會話——這樣受害者跟實際使用者的身份将無法區分,進而繞過安全識别「标記」。”
Leslie解釋道,“殭屍電腦”中包含的資料主要由資訊竊取惡意軟體負責收集。而且差別于其他競争對手,Genesis Market上沒有第三方供應商清單,這與Russian Market明确列出RedLine、Vidar、Raccoon或META等資訊竊取程式的作法不同。
圖:GENESIS MARKET上列出的“殭屍電腦”
規模巨大:
累計出現上億個“殭屍電腦”清單
購買之後,“殭屍電腦”即可導入犯罪分子開發的名為Genesis Security的浏覽器,其也可作為其他網絡浏覽器的擴充。這些“殭屍電腦”允許犯罪者使用竊取到的憑證進行僞裝。
其中還提供可通過指紋通路的服務清單,通常包括Netflix、亞馬遜、Facebook和eBay賬戶。“殭屍電腦”還掌握着未自動納入清單中的服務憑證,例如員工網絡等。
“一切都完全比對——所在位置、IP位址、浏覽器資訊等。在安裝了Genesis Store浏覽器擴充程式之後,買家就能導入受害者「殭屍電腦」,浏覽器将立即重置以僞造你的受害者「身份」。對于線上服務,這種身份與真實使用者高度相似、甚至很可能完全相同。”
圖:該平台提供浏覽器和插件,供使用者部署“殭屍電腦”
Genesis市場是邀請注冊制的網站,但邀請碼可以在搜尋引擎找到。與大多數大型犯罪論壇一樣,其邀請碼随處可見,甚至在YouTube視訊中也能擷取。
目前尚不清楚Genesis市場上的受害者總數,但Leslie表示自2018年以來,Recorded Future平台共發現約1.35億個“殭屍電腦”清單。
“根據目前活躍清單的數量來看,再參考過去一個月平台引用的總樣本規模(130萬),我認為Genesis Store的整個生命周期内約掌握着3000到5000萬個活躍清單。”
他還警告稱,這個數字隻是估算值,“因為Genesis Store不顯示曆史記錄”,是以“實際數字可能要高得多”。
其犯罪業務在設計當中還專門考慮到低準入門檻,希望為更多閱聽人提供一站式欺詐服務。Genesis甚至提供相應的維基百科,向新使用者解釋其工作原理,以期廣泛實作欺詐商品化。
圖:GENSISS在維基詞條中解釋如何進行欺詐活動
“這意味着竊取資訊的「僵屍網絡」由Genesis Store負責管理和控制”,也就是說Genesis Store背後的犯罪分子擁有“對整個清單的指令和控制權,并可持續通路受到感染的機器。”
“這就是Genesis Store維持「活力」的部分原因。與受感染機器的持續通信将保證「殭屍電腦」得到不斷更新,盡可能讓指紋資訊保持最新。”
參考資料:therecord.media