网络犯罪新趋势：黑色代理服务

关键要点

• 黑色代理 ：一个名为“黑色代理”的新型网络犯罪代理服务，使用“未被封锁”的IP地址。
• 大规模攻击 ：仅在一周内，这些代理服务对美国公司的认证构件攻击中，使用了超过187,000个IP地址。
• 创新侦测方法 ：安全团队应当采用更现代的侦测策略，而不是仅依赖静态指标。

研究人员在周四发布了关于网络犯罪代理服务的最新进展，这些服务具有“未被封锁”的IP地址，并在对美国公司的多起凭证填充攻击中，使用了超过187,000个IP地址，企图欺诈组织及其客户。

在一篇中，DomainTools的研究人员将这些新的恶意代理服务称为“黑色代理”。这些黑色代理以其可靠性、范围和数量庞大的IP地址而向其他网络犯罪者进行市场推广。

研究人员指出，相比其他观察到的服务，黑色代理的规模要“大得多”，这主要是因为它们不仅专注于传统的形式，还利用了被攻击的网站，并采用新的手段占用IP空间进行非法活动。

黑色代理实际上是敌对势力通过合法的IP地址隐藏其指挥和控制基础设施的新型“一站式服务”方式。CardinalOps的网络防御战略副总裁PhilNeray表示，这突显了防御者需要采用更现代的战术来侦测这些活动。他提到，安全运营中心（SOCs）应当监测网络中异常或未经授权的行为，而不是单纯依赖像IP地址这类静态的妨碍指示（IOCs）。

Neray表示：“例如，
是一个追踪数百个敌对团体策略、技术和程序的知识库，基于他们已知的操作手法和通过杀伤链的移动方式。这是一种更可靠的侦测方法，可以在它们对组织造成实质性影响之前将其控制住。”