X金标认证：暗网新兴黑市与自动化攻击工具Sentry MBA剖析

当我看到一名威胁行为者劫持了谷歌Mandiant部门的X账户并推广加密货币骗局时，我突然对这种新的显著趋势产生了好奇。实际上，这次攻击仅仅是过去几周内发生的众多事件之一（参见此处）。

新兴的黑市趋势

在主流社交媒体平台（前身为Twitter，现称为X）上建立影响力对于培养品牌形象和知名度至关重要。带有令人垂涎的蓝色复选标记的推文所产生的影响力是公认的。最初，这些徽章与严格的验证流程挂钩，但在埃隆·马斯克收购Twitter后，它们发生了转变，允许公开购买。

目前，情况已经发展，Twitter引入了一系列付费功能。实体不仅可以购买标准的蓝色复选标记，还可以通过为组织提供的"金标"标签以及为非政府组织和政府机构提供的"灰标"标识来提升其状态。这三种区别（蓝色、金色和灰色）可通过月度订阅模式获得。

在暗网论坛和市场的阴影地带，有一个专门的部分密切关注与社交媒体交易相关的活动。最近的观察显示，在这些领域内的发帖量激增，威胁行为者正在积极兜售拥有Twitter金标验证的账户。有趣的是，Telegram频道上也出现了类似的广告，表明依赖于拥有Twitter金标账户的恶意计划正在广泛扩散。这种新兴趋势需要保持警惕关注，以预防潜在的恶意活动。

根据CloudSEK的报告（参见此处），价格可能根据出售的社交媒体、“徽章等级"和关注者数量在一定范围内变动。


在互联网可见层和隐蔽层活动的各种威胁行为者都声称与获取Twitter金标账户有关。值得注意的案例包括：

• 一名行为者向我们的线人透露，每周提供15个休眠账户，随后由买家升级为金标订阅。这相当于每年超过720个账户，每个账户售价35美元，15个企业且不活跃的Twitter账户总计略高于500美元。
• 其他广告明确列出了可供购买的公司。根据这些账户的品牌和关注者数量，带有金标徽章的账户定价在1200美元至2000美元之间。
• 促进这些交易的是中间人，负责验证卖家账户的真实性并确保买家资金的转移。
• 卖家还提供增加所购账户关注者的选项，以低至135美元的价格提供增加30,000至50,000名关注者的服务。
• 买家被允许免费添加多个关联账户。然而，在超过与现有X金标账户关联的指定数量后，购买者必须为每个关联账户支付50美元。这一规定表明，子账户与X的主要金标账户存在复杂的关联或附属关系。

使用的技术

攻击者使用以下技术来提供社交媒体账户的访问权限：

1. 手动创建与验证：广告商（通常是个人）手动生成账户，完成验证流程，并将其作为"即用型"账户提供给客户。这种方法对那些意图犯罪、寻求伪身份以避免其行为被直接归因的个人特别有吸引力。
2. 暴力破解现有账户：网络犯罪分子对现有账户使用暴力破解策略，利用现成列表中获取的通用用户名和密码组合。网络犯罪论坛免费提供一系列工具和预配置设置。此类别的著名工具包括Open Bullet、SilverBullet和SentryMBA。
3. 信息窃取恶意软件：专门窃取信息的恶意软件在集中化的僵尸网络内运行。该恶意软件从受感染的设备中提取凭据，随后根据买家的规格验证收集到的数据。这些标准可能包括账户性质（个人或企业）、关注者数量、特定区域账户等。

Sentry MBA深入解析

现在让我们仔细看看Sentry MBA，这是用于（暴力）破解账户的最常用工具之一。

Sentry MBA v1.5.0

Sentry MBA是网络对手用来控制各大网站用户账户的自动化工具。它的使用使犯罪分子能够有效地评估特定目标平台上数百万用户名和密码的有效性。该工具已获得显著关注，Shape Security研究团队在他们保护的几乎每个网站上都遭遇过Sentry MBA攻击尝试。

与历史上网络犯罪分子需要精通复杂的网络技术才能进行在线攻击的做法不同，Sentry MBA通过其点击式图形用户界面简化了流程。这种易用性，加上在线支持论坛和活跃的地下市场，使得网络犯罪民主化，使更广泛的个人能够参与其中，而无需高级技术技能、专业设备或内部知识。

Sentry MBA包含绕过常见Web应用程序防御的复杂功能。例如，它可以通过利用代理将攻击分布到众多IP地址来克服预防性控制措施，如IP黑名单或速率限制。此外，它还可以通过操纵"referer"头部值来规避检测性控制，如引用检查。Sentry MBA攻击的核心是"组合"列表，其中包含用户名和密码。

该工具利用了互联网用户普遍存在的密码重用行为。如果组合列表包含因漏洞或钓鱼技术而在其他平台上先前有效的凭据，则这种攻击被称为"凭据填充”。正如Verizon 2015年数据泄露报告所强调的，这种方法仍然是一种普遍的威胁，该报告将窃取的凭据确定为针对Web应用程序最常见的攻击行为。

凭据填充攻击对缓解工作构成了巨大挑战，主要是因为它们针对的是在线用户界面元素（如登录页面），而这些元素天生对所有互联网流量开放。在一个著名案例中，利用Sentry MBA的网络犯罪分子瞄准了一家大型零售公司的储值卡计划，自动化流量占该公司登录页面流量的91%以上。尽管实施了既定的在线安全最佳实践，该公司每年仍遭受超过2500万美元的在线欺诈损失。

Sentry MBA攻击剖析

1. 目标选择与攻击优化

Sentry MBA攻击的启动涉及配置该工具以理解目标登录页面的复杂性。一个专用的"配置"文件包含基本元素，如登录页面URL、用于表单导航的字段标记以及有效密码构建的规则。各种网站的工作配置在专门从事此类活动的论坛上很容易获得。一旦掌握了基本的工作配置，攻击者就会利用Sentry MBA工具来优化和测试针对实时目标网站的攻击设置。这包括配置该工具以识别与网站对登录尝试的响应相关的关键词，通过光学字符识别或可能的CAPTCHA图像和答案数据库来击败CAPTCHA挑战。

2. 自动化账户检查

优化的网站配置为自动化账户检查铺平了道路。攻击者只需将他们的"组合"文件（包含用户名和密码）和一个"代理"文件引入Sentry MBA即可发起攻击。组合文件可以从暗网和开放网络上的各种来源获取，提供被盗用户名和密码列表。代理文件（由Sentry MBA用来掩盖攻击来源的计算机组成）也随时可用。代理在破坏常见的应用程序防御策略（如IP信誉过滤和速率限制）方面起着关键作用。用作代理的被入侵计算机不断变化，使得IP黑名单失效。代理还通过使登录尝试看起来来自大量不同的计算机来挫败速率限制防御。

3. 变现

一旦获得有效的凭据，网络犯罪分子就会寻找方法将其成功变现。一种普遍的策略是将受损账户中的储值礼品卡余额转移到网络犯罪分子控制的卡上。像giift.com、giftcardzen.com和cardpool.com这样的平台促进了欺诈性卡片向现金或商品的转换，为非法经济利益提供了途径。

从本质上讲，Sentry MBA通过优化配置、使用组合文件和代理自动化账户检查，并最终使网络犯罪分子能够从被入侵的凭据中获利，从而协调了一次精心策划的攻击。这个细致入微的过程强调了凭据填充攻击的复杂性质，并强调了采取强有力的安全措施来应对这些威胁的必要性。

结论

总之，不断发展的网络威胁形势需要对攻击者采用的策略进行持续的理解和反击。当前时代见证了一个令人担忧的趋势的出现：一种新的暗网市场现象的扩散。这种现象战略性地利用了一年前推出的付费徽章，作为诱骗毫无戒心的用户的诱饵。这些策略的微妙性凸显了提高意识和采取主动网络安全措施的必要性。

与此同时，网络犯罪领域正见证自动化工具和技术采用的显著激增。这一发展将网络犯罪分子推向了一个新的复杂高度，使他们能够高效地针对大量受害者。这些趋势的交集突显了网络安全格局的动态性，对手不断适应和完善他们的方法。

作为回应，网络安全社区必须保持警惕，利用先进技术和协作努力来领先于不断演变的威胁。通过培养积极主动和适应性强的方法，我们可以共同加强防御，减轻这些复杂的网络挑战对个人、组织和整个数字生态系统的影响。

但成为目标并不意味着成为受害者，请保持关注并保持信息畅通。如果您想了解更多关于网络威胁情报的信息，您可以决定在此处订阅。