1 简介
最近,漏洞利用工具包,恶意软件,僵尸网络租用,教程和其他黑客产品的在线市场一直在发展,而这个市场曾经是一个难以渗透的专有市场,其购买者主要是西方政府[95] 现在,更广泛的人群更容易使用。 具体而言,暗网(可通过匿名协议(例如Tor和i2p)访问的Internet的一部分)已被各种专门针对此类产品的市场所占据[94,2]。 特别是在2015年,专门针对零日漏洞利用工具包的暗网市场出现了,这些工具包旨在利用以前未发现的漏洞。 这些漏洞利用工具包开发困难且耗时,而且通常以高价出售。
漏洞利用市场和黑客论坛的爆炸性增长为网络防御者提供了宝贵的机会。这些在线社区提供了有关潜在对手的新信息源,从而形成了新兴的网络威胁情报行业。侦察前的网络威胁情报是指在恶意行为者与被防御的计算机系统交互之前收集的信息。为了提供具体的例子来说明侦察前网络威胁情报的重要性,请考虑表1.1中所示的案例研究。2015年2月发现了一个Microsoft Windows漏洞。关于此漏洞的Microsoft公开新闻稿实质上是他们向客户发出安全漏洞警告的方式。 在发布时,还没有公开的方法可以利用此漏洞来进行网络攻击(即可利用的漏洞)。 但是,大约一个月后,发现在Darknet漏洞利用市场上出售了一个漏洞利用。直到7月,大型网络安全公司FireEye才发现旨在窃取信用卡信息的Dyre银行木马利用了此特定漏洞。 此插图说明了从暗网收集的威胁警告如何以预警威胁指示器的形式为安全专业人员提供有价值的信息。 在Dyre和类似的Dridex银行木马之间,每10个全球组织中就有近6个受到影响,这一统计数字令人震惊。