深入暗網存取經濟：駭客如何出售企業網路密鑰

什麼是初始存取代理人（IABs）？

初始存取代理人是網路犯罪生態系中的一個關鍵角色。他們是技術高超的駭客，專門負責滲透企業網路並建立「初始存取向量」（Initial Access Vectors, IAVs）。一旦成功入侵，他們不會立即發動勒索軟體攻擊或竊取數據，而是將這些來之不易的存取權在暗網上公開出售。這些買家通常是另一批駭客，他們可能技術較差，無法自行完成初始入侵，或是為了節省時間、直接進入攻擊的關鍵階段。這種分工合作的模式，使得網路犯罪的門檻大幅降低，加速了攻擊的效率。

蓬勃發展的地下市場

Rapid7的報告指出，暗網上的初始存取市場正蓬勃發展。這些代理人在諸如XSS、BreachForums和Exploit等論壇上積極販售他們的「商品」。這些交易提供了多種選擇，近四分之三的銷售案件提供了多種IAV選擇，而約10%則以組合套裝的形式出售，讓買家可以根據自己的需求選擇。這種高度客製化的銷售模式，進一步證明了網路犯罪的商業化程度。

最常見的存取向量與定價機制

在眾多IAV中，最常見的攻擊向量包括虛擬私人網路（VPN）、網域使用者（Domain User）和遠端桌面協定（RDP）。這些向量合計佔了銷售總量的超過50%，其共同點是許多企業在這些存取點上缺乏或未能充分實施多因素驗證（MFA）。這使得駭客可以利用竊取的憑證，輕易地繞過單一密碼的防線，直接進入企業網路。

定價是這個市場的另一個關鍵要素。報告顯示，初始存取權的價格通常是根據受害者的年營收來定價。簡言之，受害者的收入越高，存取權的價格也越高。然而，報告也發現，受害者的供應鏈吸引力似乎並未顯著影響價格。這可能是因為攻擊者最終的目標仍是直接受害者本身，而透過第三方入侵仍需額外工作才能達到最終目標。價格範圍相當廣泛，平均價格約為2,700美元，但也有高達數萬美元甚至更低的個案，許多交易的價格落在500至1,000美元之間，反映出市場的層級與不同駭客群體的支付能力。

攻擊後的威脅：二次受害

購買了存取權的駭客可以利用這些密鑰進行各種惡意活動，其中最常見的莫過於勒索軟體攻擊和數據竊取。許多勒索軟體即服務（RaaS）集團甚至會與初始存取代理人合作，以固定費用或從贖金中抽成的方式，確保他們能持續獲得新的目標。值得注意的是，一個企業網路的存取權可能被出售給多個買家，這意味著一旦網路被入侵，該企業可能面臨多次、不同目的的攻擊，遭受「二次受害」。

對企業的啟示與防禦建議

這份報告清楚地表明，企業已經不僅是面對單一駭客的威脅，而是整個有組織的網路犯罪生態系。因此，傳統的資安防禦策略已顯不足。為了有效應對這類威脅，企業必須採取更全面的防禦措施：

• 強化身分驗證：在所有遠端存取點，特別是VPN、RDP和關鍵服務，實施多因素驗證（MFA）是當務之急，以防止憑證被竊取後仍能輕易被利用。

• 監控異常活動：企業應建立強大的日誌監控系統，持續追蹤網路流量和使用者行為。一旦發現異常的新增使用者帳號或權限提升，應立即進行調查。

• 提升資安意識：持續對員工進行資安培訓，教育他們如何識別釣魚攻擊和社交工程，以減少初始存取向量的來源。

• 資訊共享與合作：企業應與資安業界和執法機構保持密切聯繫，共享威脅情報，共同努力瓦解暗網中的初始存取代理人生態系。

總結來說，暗網存取經濟是一個隱蔽但極其危險的市場，它正在加速網路犯罪的規模和頻率。了解這個市場的運作模式，是企業建立有效防禦策略的第一步。唯有透過技術強化、流程完善和意識提升三管齊下，企業才能在這場持續演變的資安戰役中，有效保護自身數位資產。

資料來源：https://www.securityweek.com/inside-the-dark-webs-access-economy-how-hackers-sell-the-keys-to-enterprise-networks/