Цены на доступ к корпоративным сетям на андеграундных форумах растут. Initial Access Broker - не абстрактный термин из отчётов: за ним стоит активный рынок, где на крупнейших площадках каждую неделю появляются десятки свежих лотов. Для пентестера это значит конкретную вещь: инфраструктуру клиента могли скомпрометировать и выставить на продажу задолго до начала engagement. Ниже разбираю, как устроен рынок первоначального доступа, какие артефакты оставляет IAB-компрометация и чем её поймать на практике.
Бизнес-логика IAB: зачем атакующему продавать доступ к сети
Зачем атакующему продавать доступ вместо того, чтобы использовать его самому? Ответ - в экономике специализации. Ransomware supply chain работает по модели разделения труда: брокер первоначального доступа делает Initial Access (T1078 Valid Accounts, T1190 Exploit Public-Facing Application), а операторы ransomware занимаются шифрованием, эксфильтрацией и переговорами. Каждое звено масштабирует ся независимо.По данным CrowdStrike Global Threat Report 2025, 75% вторжений в 2024 году использовали действительные учётные данные. Среднее время lateral movement после получения доступа - 62 минуты, рекорд - 51 секунда. Компрометация корпоративной сети и её продажа IAB - входная точка конвейера, а не его финал.
Полная цепочка атаки:
- IAB получает доступ - фишинг, эксплуатация VPN/RDP, stealer-логи, brute-force
- IAB закрепляется - web shell, backdoor-аккаунты, Cobalt Strike beacon
- IAB верифицирует доступ - оценивает привилегии, размер домена, отрасль
- IAB публикует объявление - Exploit, RAMP, DarkForums с описанием лота
- Покупатель (аффилиат RaaS) приобретает доступ за криптовалюту
- Покупатель разворачивает post-exploitation, шифрует данные, начинает вымогательство
Рынок первоначального доступа: форумы, цены и IAB darkweb
Мониторинг андеграундных форумов - часть повседневной работы CTI-аналитика. Пять площадок формируют ядро IAB-рынка: Exploit, XSS, BreachForums, DarkForums и RAMP. По наблюдениям TI-сообщества, распределение активности по продаже доступа смещается в сторону новых площадок - DarkForums и RAMP, тогда как исторически доминировавшие Exploit и XSS теряют долю.
И вот что из этого следует: если ваш darkweb мониторинг угроз покрывает только "классические" форумы - вы видите меньше пятой части лотов с доступом к клиентской инфраструктуре. Остальное проходит мимо.
Что продают: типы доступа и привилегии
Среди типов доступа на андеграундных форумах, по данным публичных TI-отчётов, лидируют три:| Тип доступа | Примерная доля |
|---|---|
| RDP | ~20% |
| VPN | ~13% |
| RDWeb | ~11% |
Привилегии, с которыми доступ продаётся:
| Уровень привилегий | Примерная доля |
|---|---|
| Domain User | ~43% |
| Domain Admin | ~32% |
| Local Admin | ~12% |
Характерный тренд: продажа Local User привилегий полностью исчезла из выборки. Рынок первоначального доступа сместился от объёма к качеству - покупатели хотят доступ, позволяющий быструю эскалацию и lateral movement, а не "точку входа без прав". Логично: зачем платить за аккаунт, с которого ещё час придётся карабкаться до DA?
Ценообразование и целевые отрасли
Средняя цена объявления сильно варьируется в зависимости от площадки и целевой организации. На Exploit и XSS типичный диапазон исторически ниже - от нескольких сотен до нескольких тысяч долларов за лот, тогда как на DarkForums фигурируют крупные цели с ценами на порядки выше. Наиболее целевые отрасли: Government (14.2%), Retail (13.1%), IT (10.8%). Для государственного сектора самый частый тип лота - admin panel access, основная площадка продажи - DarkForums.Credential harvesting и эксплуатация: техники IAB через MITRE ATT&CK
Threat intelligence IAB-деятельности укладывается в две ключевые техники MITRE ATT&CK:T1078 - Valid Accounts (Initial Access, Persistence, Privilege Escalation, Defense Evasion). IAB используют скомпрометированные учётные данные для входа через VPN или RDP. По данным IBM X-Force Threat Intelligence Index 2025, атаки с использованием действительных учётных данных выросли на 71% за год. Основной источник - stealer-логи: infostealers (Redline, Raccoon, Lumma) заняли 32% среди всех типов malware в 2024 году, обогнав ransomware. По данным Verizon DBIR 2025, 38% утечек данных связаны с кражей учётных данных (не путать с 38% exploits как вектора initial access по Mandiant M-Trends 2025 - это разные метрики).
T1190 - Exploit Public-Facing Application (Initial Access). Эксплуатация уязвимостей в VPN-шлюзах, Exchange, Confluence, Citrix. По Mandiant M-Trends 2025, exploits - вектор номер один (38%), опережающий фишинг и prior compromise. При этом, по данным IBM X-Force, среднее время между публикацией CVE и её устранением в организациях - 29 месяцев. Двадцать девять. Окно возможностей для IAB - не щель, а ворота.
CVE-2021-40444 и группа Exotic Lily - пример IAB-операции
CVE-2021-40444 - уязвимость удалённого выполнения кода в MSHTML. CVSS 8.8 (HIGH), вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L. В NVD классифицирована как CWE-22 (Path Traversal) - эксплуатация использовала path traversal в обработке CAB-архива для размещения INF-файла, приводящего к RCE через ActiveX-контрол в MSHTML. Затронуты множество версий Windows с MSHTML-компонентом, включая Windows 10 (1507–2004), Windows Server и другие (полный список - в Microsoft Security Update Guide). Уязвимость включена в каталог CISA KEV (Known Exploited Vulnerabilities) как активно эксплуатируемая, дата добавления - 2021-11-03.По данным Microsoft MSTIC, эксплуатация CVE-2021-40444 отслеживалась у актора DEV-0413 в сентябре 2021: фишинговые рассылки с вредоносными Office-документами, содержащими ActiveX-элемент, использующий движок отрисовки браузера. Жертве достаточно было открыть файл. Оба кейса - примеры IAB-операций: массовое получение первоначального доступа с последующей монетизацией.
Место в kill chain и ограничения IAB-техник
IAB работает строго на этапах Initial Access и Persistence. Всё, что дальше (Lateral Movement, Exfiltration, Impact) - зона покупателя. Задача IAB - создать надёжный, верифицированный доступ и исчезнуть. После получения доступа типичный набор: web shells на периметре, скрытые локальные учётные записи, C2 через Cobalt Strike или Brute Ratel.| Техника | Работает когда | Не работает когда |
|---|---|---|
| Stealer-логи (T1078) | MFA отсутствует или push-based; пароли переиспользуются | Phishing-resistant MFA (FIDO2/WebAuthn); conditional access по гео |
| Эксплуатация VPN (T1190) | CVE не закрыта; VPN на периметре без WAF | Своевременный патчинг; сегментация сети за VPN |
| Brute-force RDP | Порт 3389 открыт наружу; нет lockout policy | Account lockout; NLA; network-level firewall |
| Фишинг + макросы | Office-макросы разрешены; нет песочницы | Mark-of-the-Web; GPO блокировка макросов из интернета |
Обратите внимание на правую колонку. Phishing-resistant MFA убивает stealer-логи как вектор. Своевременный патчинг (а не "через 29 месяцев") закрывает T1190. Но в реальных проектах я вижу эти меры одновременно у, может, 10% организаций.
Обнаружение взлома инфраструктуры: артефакты IAB
На каждом IR-кейсе, связанном с ransomware, ретроспективный анализ начинается с вопроса: когда именно IAB получил доступ? По данным Mandiant M-Trends 2025, медианное время до обнаружения - 11 дней, хотя в ряде кейсов разрыв достигает месяцев. Обнаружение несанкционированного доступа на стадии IAB - единственный шанс предотвратить шифрование дёшево.
Что искать: ключевые артефакты
VPN-логи. Аномальные подключения: новая геолокация, нерабочие часы, impossible travel (два логина из разных стран за короткий интервал). D3FEND описывает этот подход как User Geolocation Logon Pattern Analysis (D3-UGLPA). VPN - второй по популярности тип доступа у IAB (~13% лотов), так что это первая точка проверки.RDP-сессии. Неожиданные подключения к серверам, особенно через RDWeb (~11% объявлений). Event ID 4624 (тип логина 10 - RemoteInteractive) от IP вне корпоративной сети. RDP - лидер по количеству объявлений (~20%), и самый вероятный артефакт компрометации.
Учётные записи. Реактивация спящих аккаунтов, создание локальных администраторов. D3FEND рекомендует Domain Account Monitoring (D3-DAM) и Local Account Monitoring (D3-LAM). На Windows утилита
cmdkey.exe (категория LOLBAS: Credentials, связана с T1078) используется для управления сохранёнными учётными данными - запустите cmdkey /list на критичных серверах и проверьте, не появились ли новые записи. Простое действие, которое почему-то никто не делает регулярно.MFA-события. Регистрация нового устройства или метода аутентификации для существующего пользователя. В репозитории SigmaHQ есть правило
azure_tap_added.yml - детект добавления Temporary Access Pass в Azure AD (тег T1078). Всего по T1078 в SigmaHQ - 115 правил.Периметровые приложения. Web shells на IIS/Apache/Nginx. Переход от 401 к 200 на чувствительных эндпоинтах. SigmaHQ содержит 151 правило по тегу T1190.
Детект аномальных VPN-подключений: Sigma и SIEM
Пример Sigma-правила для обнаружения VPN-логина из нетипичной геозоны:
YAML:
title: VPN Login from Unusual Geolocation
logsource:
category: authentication
product: vpn
detection:
login:
EventType: 'VPN_Login'
known_geo:
SourceCountry|contains: ['RU','KZ']
condition: login and not known_geo
level: medium
tags:
- attack.initial_access
- attack.t1078
Код:
index=vpn sourcetype=vpn_auth action=success
| stats dc(src_country) as countries values(src_country) as geo by user
| where countries > 1
| sort -countries
terms агрегацию по полю source.geo.country_iso_code с фильтром event.outcome: success. Конкретная реализация зависит от нормализации полей VPN-коннектором.Darkweb мониторинг угроз: что искать на форумах
При наличии доступа к TI-платформе с покрытием андеграундных форумов (MISP, OpenCTI, коммерческие решения) настройте алерты на: название компании и доменные имена в объявлениях о продаже доступа; email-адреса сотрудников в дампах stealer-логов; IP-диапазоны в листингах RDP/VPN. По данным Have I Been Pwned, только в одном комбо-листе Exploit.In - 593 427 119 уникальных email-адресов. Stealer-логи с парами loginЧеклист выявления следов брокера первоначального доступа
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
По опыту, самый частый IAB-артефакт - аномальный VPN-логин с Domain User привилегиями (42.9% всех продаваемых доступов) из нехарактерной геолокации. Если такой логин произошёл больше 30 дней назад и остался без расследования - с высокой вероятностью доступ уже продан или активно используется.
Большинство организаций тратят бюджет на детект ransomware - шифрование, эксфильтрацию, C2-трафик. Это работа с последствиями, а не с причиной. Единственная точка, где атаку можно остановить дёшево - этап IAB, когда злоумышленник закрепился, но ещё не передал доступ покупателю. Медианное время обнаружения - 11 дней (Mandiant). Первые 3-5 из них - окно верификации доступа и подготовки объявления. Если SOC ловит аномальный VPN-логин в первые сутки - организация опережает рынок. Если нет - через неделю доступ уйдёт аффилиату Akira или Play, и дальше разговор не про детект, а про размер выкупа.
На мой взгляд, индустрия поставила задачу с ног на голову. Мы инвестируем в EDR, sandbox, deception - всё это работает на этапах Execution и Lateral Movement. А брокер первоначального доступа действует тише: один валидный логин через VPN, одна закладка, одно объявление на RAMP. И уходит. Вся защита от ransomware начинается не с правил детектирования шифрования, а с простого вопроса: "знаем ли мы о каждом VPN-подключении к нашей сети за последние 90 дней?" Если ответ "нет" - считайте, что IAB уже внутри. Объявление просто ещё не опубликовано.
Последнее редактирование модератором: