Статья Initial Access Broker: как работает рынок первоначального доступа и как обнаружить следы компрометации

Вскрытый корпус VPN-устройства на антистатическом мате под лупой. На металлической панели выгравированы коды уязвимостей, красный светодиод тревожно мигает в темноте.


Цены на доступ к корпоративным сетям на андеграундных форумах растут. Initial Access Broker - не абстрактный термин из отчётов: за ним стоит активный рынок, где на крупнейших площадках каждую неделю появляются десятки свежих лотов. Для пентестера это значит конкретную вещь: инфраструктуру клиента могли скомпрометировать и выставить на продажу задолго до начала engagement. Ниже разбираю, как устроен рынок первоначального доступа, какие артефакты оставляет IAB-компрометация и чем её поймать на практике.

Бизнес-логика IAB: зачем атакующему продавать доступ к сети​

Зачем атакующему продавать доступ вместо того, чтобы использовать его самому? Ответ - в экономике специализации. Ransomware supply chain работает по модели разделения труда: брокер первоначального доступа делает Initial Access (T1078 Valid Accounts, T1190 Exploit Public-Facing Application), а операторы ransomware занимаются шифрованием, эксфильтрацией и переговорами. Каждое звено масштабирует ся независимо.

По данным CrowdStrike Global Threat Report 2025, 75% вторжений в 2024 году использовали действительные учётные данные. Среднее время lateral movement после получения доступа - 62 минуты, рекорд - 51 секунда. Компрометация корпоративной сети и её продажа IAB - входная точка конвейера, а не его финал.

Полная цепочка атаки:
  1. IAB получает доступ - фишинг, эксплуатация VPN/RDP, stealer-логи, brute-force
  2. IAB закрепляется - web shell, backdoor-аккаунты, Cobalt Strike beacon
  3. IAB верифицирует доступ - оценивает привилегии, размер домена, отрасль
  4. IAB публикует объявление - Exploit, RAMP, DarkForums с описанием лота
  5. Покупатель (аффилиат RaaS) приобретает доступ за криптовалюту
  6. Покупатель разворачивает post-exploitation, шифрует данные, начинает вымогательство
На момент написания группы Akira и Play активно публикуют жертв - по 5 организаций за последнюю неделю каждая, от юридических фирм в Нью-Хэмпшире до инфраструктурных компаний в США. Промежуток от покупки доступа до публикации на DLS измеряется днями. По Mandiant M-Trends 2025, exploits остаются самым распространённым вектором initial access (38%), а медианное время нахождения злоумышленника в сети до обнаружения - 11 дней. За эти 11 дней купленный доступ превращается в зашифрованную инфраструктуру.

Рынок первоначального доступа: форумы, цены и IAB darkweb​

1784275166769.webp

Мониторинг андеграундных форумов - часть повседневной работы CTI-аналитика. Пять площадок формируют ядро IAB-рынка: Exploit, XSS, BreachForums, DarkForums и RAMP. По наблюдениям TI-сообщества, распределение активности по продаже доступа смещается в сторону новых площадок - DarkForums и RAMP, тогда как исторически доминировавшие Exploit и XSS теряют долю.

И вот что из этого следует: если ваш darkweb мониторинг угроз покрывает только "классические" форумы - вы видите меньше пятой части лотов с доступом к клиентской инфраструктуре. Остальное проходит мимо.

Что продают: типы доступа и привилегии​

Среди типов доступа на андеграундных форумах, по данным публичных TI-отчётов, лидируют три:

Тип доступаПримерная доля
RDP~20%
VPN~13%
RDWeb~11%

Привилегии, с которыми доступ продаётся:

Уровень привилегийПримерная доля
Domain User~43%
Domain Admin~32%
Local Admin~12%

Характерный тренд: продажа Local User привилегий полностью исчезла из выборки. Рынок первоначального доступа сместился от объёма к качеству - покупатели хотят доступ, позволяющий быструю эскалацию и lateral movement, а не "точку входа без прав". Логично: зачем платить за аккаунт, с которого ещё час придётся карабкаться до DA?

Ценообразование и целевые отрасли​

Средняя цена объявления сильно варьируется в зависимости от площадки и целевой организации. На Exploit и XSS типичный диапазон исторически ниже - от нескольких сотен до нескольких тысяч долларов за лот, тогда как на DarkForums фигурируют крупные цели с ценами на порядки выше. Наиболее целевые отрасли: Government (14.2%), Retail (13.1%), IT (10.8%). Для государственного сектора самый частый тип лота - admin panel access, основная площадка продажи - DarkForums.

Credential harvesting и эксплуатация: техники IAB через MITRE ATT&CK​

Threat intelligence IAB-деятельности укладывается в две ключевые техники MITRE ATT&CK:

T1078 - Valid Accounts (Initial Access, Persistence, Privilege Escalation, Defense Evasion). IAB используют скомпрометированные учётные данные для входа через VPN или RDP. По данным IBM X-Force Threat Intelligence Index 2025, атаки с использованием действительных учётных данных выросли на 71% за год. Основной источник - stealer-логи: infostealers (Redline, Raccoon, Lumma) заняли 32% среди всех типов malware в 2024 году, обогнав ransomware. По данным Verizon DBIR 2025, 38% утечек данных связаны с кражей учётных данных (не путать с 38% exploits как вектора initial access по Mandiant M-Trends 2025 - это разные метрики).

T1190 - Exploit Public-Facing Application (Initial Access). Эксплуатация уязвимостей в VPN-шлюзах, Exchange, Confluence, Citrix. По Mandiant M-Trends 2025, exploits - вектор номер один (38%), опережающий фишинг и prior compromise. При этом, по данным IBM X-Force, среднее время между публикацией CVE и её устранением в организациях - 29 месяцев. Двадцать девять. Окно возможностей для IAB - не щель, а ворота.

CVE-2021-40444 и группа Exotic Lily - пример IAB-операции​

CVE-2021-40444 - уязвимость удалённого выполнения кода в MSHTML. CVSS 8.8 (HIGH), вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L. В NVD классифицирована как CWE-22 (Path Traversal) - эксплуатация использовала path traversal в обработке CAB-архива для размещения INF-файла, приводящего к RCE через ActiveX-контрол в MSHTML. Затронуты множество версий Windows с MSHTML-компонентом, включая Windows 10 (1507–2004), Windows Server и другие (полный список - в Microsoft Security Update Guide). Уязвимость включена в каталог CISA KEV (Known Exploited Vulnerabilities) как активно эксплуатируемая, дата добавления - 2021-11-03.

По данным Microsoft MSTIC, эксплуатация CVE-2021-40444 отслеживалась у актора DEV-0413 в сентябре 2021: фишинговые рассылки с вредоносными Office-документами, содержащими ActiveX-элемент, использующий движок отрисовки браузера. Жертве достаточно было открыть файл. Оба кейса - примеры IAB-операций: массовое получение первоначального доступа с последующей монетизацией.

Место в kill chain и ограничения IAB-техник

IAB работает строго на этапах Initial Access и Persistence. Всё, что дальше (Lateral Movement, Exfiltration, Impact) - зона покупателя. Задача IAB - создать надёжный, верифицированный доступ и исчезнуть. После получения доступа типичный набор: web shells на периметре, скрытые локальные учётные записи, C2 через Cobalt Strike или Brute Ratel.

ТехникаРаботает когдаНе работает когда
Stealer-логи (T1078)MFA отсутствует или push-based; пароли переиспользуютсяPhishing-resistant MFA (FIDO2/WebAuthn); conditional access по гео
Эксплуатация VPN (T1190)CVE не закрыта; VPN на периметре без WAFСвоевременный патчинг; сегментация сети за VPN
Brute-force RDPПорт 3389 открыт наружу; нет lockout policyAccount lockout; NLA; network-level firewall
Фишинг + макросыOffice-макросы разрешены; нет песочницыMark-of-the-Web; GPO блокировка макросов из интернета

Обратите внимание на правую колонку. Phishing-resistant MFA убивает stealer-логи как вектор. Своевременный патчинг (а не "через 29 месяцев") закрывает T1190. Но в реальных проектах я вижу эти меры одновременно у, может, 10% организаций.

Обнаружение взлома инфраструктуры: артефакты IAB​

1784275201361.webp

На каждом IR-кейсе, связанном с ransomware, ретроспективный анализ начинается с вопроса: когда именно IAB получил доступ? По данным Mandiant M-Trends 2025, медианное время до обнаружения - 11 дней, хотя в ряде кейсов разрыв достигает месяцев. Обнаружение несанкционированного доступа на стадии IAB - единственный шанс предотвратить шифрование дёшево.

Что искать: ключевые артефакты​

VPN-логи. Аномальные подключения: новая геолокация, нерабочие часы, impossible travel (два логина из разных стран за короткий интервал). D3FEND описывает этот подход как User Geolocation Logon Pattern Analysis (D3-UGLPA). VPN - второй по популярности тип доступа у IAB (~13% лотов), так что это первая точка проверки.

RDP-сессии. Неожиданные подключения к серверам, особенно через RDWeb (~11% объявлений). Event ID 4624 (тип логина 10 - RemoteInteractive) от IP вне корпоративной сети. RDP - лидер по количеству объявлений (~20%), и самый вероятный артефакт компрометации.

Учётные записи. Реактивация спящих аккаунтов, создание локальных администраторов. D3FEND рекомендует Domain Account Monitoring (D3-DAM) и Local Account Monitoring (D3-LAM). На Windows утилита cmdkey.exe (категория LOLBAS: Credentials, связана с T1078) используется для управления сохранёнными учётными данными - запустите cmdkey /list на критичных серверах и проверьте, не появились ли новые записи. Простое действие, которое почему-то никто не делает регулярно.

MFA-события. Регистрация нового устройства или метода аутентификации для существующего пользователя. В репозитории SigmaHQ есть правило azure_tap_added.yml - детект добавления Temporary Access Pass в Azure AD (тег T1078). Всего по T1078 в SigmaHQ - 115 правил.

Периметровые приложения. Web shells на IIS/Apache/Nginx. Переход от 401 к 200 на чувствительных эндпоинтах. SigmaHQ содержит 151 правило по тегу T1190.

Детект аномальных VPN-подключений: Sigma и SIEM​

Пример Sigma-правила для обнаружения VPN-логина из нетипичной геозоны:
YAML:
title: VPN Login from Unusual Geolocation
logsource:
  category: authentication
  product: vpn
detection:
  login:
    EventType: 'VPN_Login'
  known_geo:
    SourceCountry|contains: ['RU','KZ']
  condition: login and not known_geo
level: medium
tags:
  - attack.initial_access
  - attack.t1078
Правило - концепт для демонстрации подхода. Адаптируйте под конкретный VPN-вендор (Cisco AnyConnect, Palo Alto GlobalProtect, FortiClient) и список допустимых геозон. Для Splunk аналогичная логика:
Код:
index=vpn sourcetype=vpn_auth action=success
| stats dc(src_country) as countries values(src_country) as geo by user
| where countries > 1
| sort -countries
Для Elastic используйте terms агрегацию по полю source.geo.country_iso_code с фильтром event.outcome: success. Конкретная реализация зависит от нормализации полей VPN-коннектором.

Darkweb мониторинг угроз: что искать на форумах​

При наличии доступа к TI-платформе с покрытием андеграундных форумов (MISP, OpenCTI, коммерческие решения) настройте алерты на: название компании и доменные имена в объявлениях о продаже доступа; email-адреса сотрудников в дампах stealer-логов; IP-диапазоны в листингах RDP/VPN. По данным Have I Been Pwned, только в одном комбо-листе Exploit.In - 593 427 119 уникальных email-адресов. Stealer-логи с парами login:password корпоративных учёток - основной канал поставки для credential harvesting.

Чеклист выявления следов брокера первоначального доступа​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

По опыту, самый частый IAB-артефакт - аномальный VPN-логин с Domain User привилегиями (42.9% всех продаваемых доступов) из нехарактерной геолокации. Если такой логин произошёл больше 30 дней назад и остался без расследования - с высокой вероятностью доступ уже продан или активно используется.

Большинство организаций тратят бюджет на детект ransomware - шифрование, эксфильтрацию, C2-трафик. Это работа с последствиями, а не с причиной. Единственная точка, где атаку можно остановить дёшево - этап IAB, когда злоумышленник закрепился, но ещё не передал доступ покупателю. Медианное время обнаружения - 11 дней (Mandiant). Первые 3-5 из них - окно верификации доступа и подготовки объявления. Если SOC ловит аномальный VPN-логин в первые сутки - организация опережает рынок. Если нет - через неделю доступ уйдёт аффилиату Akira или Play, и дальше разговор не про детект, а про размер выкупа.

На мой взгляд, индустрия поставила задачу с ног на голову. Мы инвестируем в EDR, sandbox, deception - всё это работает на этапах Execution и Lateral Movement. А брокер первоначального доступа действует тише: один валидный логин через VPN, одна закладка, одно объявление на RAMP. И уходит. Вся защита от ransomware начинается не с правил детектирования шифрования, а с простого вопроса: "знаем ли мы о каждом VPN-подключении к нашей сети за последние 90 дней?" Если ответ "нет" - считайте, что IAB уже внутри. Объявление просто ещё не опубликовано.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab