背景

自工业革命以来，企业一直在追求更为精简的流程，以最大限度降低成本，提高生产率和利润。当然，这对于犯罪组织而言亦是如此。如今，自动化已经成为几乎所有行业必不可缺的组成部分。在网络安全领域，自动化的重要性尤为突出。随着可用数据的量级增长，使数据收集、处理和关联过程实现自动化，已经成为跟上威胁形势的必备条件。不幸的是，网络犯罪组织同样能够从自动化技术中获利。

过去，犯罪分子可能需要花费数周甚至数月的时间，来开发、测试和实施恶意软件，而现在这一切已经能够“开箱即用”。这就导致即便是那些菜鸟攻击者也可以毫不费力地参与和执行恶意活动。如今，威胁行为者可能不再需要“入侵”目标企业来获取最初的立足点，相反地，他们可以轻松地从恶意软件供应商处购买目标企业的访问权限，而无需花费大量时间手动分析这些数据库。

除此之外，威胁行为者还可以租用加载程序和加密程序，以帮助分发和混淆其恶意软件。他们可以从各种注入或叠加中进行选择，以渗透到网站并收集重要的登录信息或财务信息。或者，他们也可以租用现成的漏洞利用工具包，这些工具包已经打包好了所需的漏洞利用工具，只需要将选择的窃密器加载到受感染的设备上，就能够轻松收集所需的信息。

为了确保犯罪企业平稳运行，威胁行为者还可以选择“防弹”托管以及代理服务等等。为了将收集的信息最大程度货币化，而不甘于赚些块钱或做“钱骡”，他们还可以将信息出售给众多地下商店和自动化市场，如此实现循环往复。

可以说，地下经济中已经衍生出了涉及各层面的非常专业的服务和产品，网络犯罪活动也逐步实现了自动化和商品化。为了更为有效地应对这场战役，防御者必须以最新的信息武装自己。近日，网络安全公司Recorded Future分析了来自威胁情报平台、开放源情报源和公共报告的数据，概括出了网络犯罪分子最常用的10种自动化攻击工具和服务，并且还对每种工具近期的攻击动态、顶级供应商以及缓解措施进行了简要概述。

数据库泄露和销售工具

许多网络攻击最初都始于从受损网络中获取到的凭据数据库，这些信息如今都在暗网论坛中出售或拍卖。甚至在某些情况下，这些数据库还在Pastebin等平台上免费发布。数据库破坏，是威胁行为者对网络进行未经授权访问的结果，访问本身可以为威胁行为者提供诸如特权提升和数据泄露之类的向量载体。此外，勒索软件运营商也可以使用该访问来加密受感染的网络;而黑客则可以利用钓鱼邮件来渗漏包含个人身份信息(PII)、个人健康信息(PHI)、公司文档、电子邮件地址、员工信息、社交媒体配置文件等信息在内的数据库。

通常来说，所有这些恶意事件都可以归类为数据库破坏或泄露的类别。

统计数据表明，数据库泄露的数量每年都在增加。根据Norton的数据显示，2019年有3,800项公开披露的违规行为，暴露了41亿条记录。在暗网中，威胁参与者之间可以出售或共享数据库漏洞，攻击者可以使用这些数据库中使用最频繁的用户名和密码组合来针对流行的在线服务和站点进行凭据填充攻击。

出售受害企业组织、政府、教育以及其他实体的网络访问权限可能是暗网上最赚钱的生意之一，其销售价格从几百美元到数十万美元不等。通常来说，网络访问权限是通过拍卖形式在暗网上出售的，在此过程中，论坛成员争相竞价，或者简单地通过固定价格进行直接销售。据悉，其中最热门的数据大多来自医疗机构、保险公司、律师事务所、制造业、航空(航空公司和机场)、教育、政府(州和市政府、警察局、地区医疗机构、选举委员会)、电子商业和金融组织。