1、导读

本文为原创作品，我对安全问题有着深入的关注和研究，本次调研的目的是为了增加企业防御人员对初始访问代理（IAB）市场的了解，以提供有针对性的安全建议。

特别强调，本次调研信息的发布纯属于安全考虑，旨在帮助企业保护自身网络安全，绝不鼓励或支持任何非法活动或攻击行为。鼓励读者将本文作为参考，增强对网络安全的认知，并采取相应的安全措施来应对潜在的威胁。

2、概述

今年出现了一个引人注目的名词 "初始访问代理（IAB）"，指的是那些出于经济动机的威胁行为者。这些行为者通过在地下论坛（如Exploit、XSS或Raidforums）上出售对企业网络的远程访问权来牟利。远程桌面协议（RDP）、虚拟专用网络（VPN）、Web shell，以及一些知名公司（如Citrix、Pulse Secure、Zoho或VMware）提供的远程访问软件工具，都是他们常见的销售对象。此外，他们还销售信息和工具，用于利用SQL注入、远程代码执行（RCE）漏洞以及其他漏洞对企业进行入侵。

因此，我编写了本文，从企业防御的角度出发，总结了IAB市场的形势，供企业防御人员参考。本文的调研内容如下：

1、IAB市场的分类：公开论坛和暗网论坛，前者可通过常规Web浏览器（如Google Chrome、Firefox和Internet Explorer）访问，而后者的网址后缀为.onion，无法轻易使用传统浏览器（如Internet Explorer、Safari或Chrome）访问，需借助匿名器（如洋葱路由器（Tor）浏览器）。

2、调研信息收集：我对各类论坛进行了调查，涵盖了论坛名称、网址、销售类型以及访问方法等相关信息。

3、经纪人的角色：这些威胁行为者通常以匿名身份活跃，将重点调查并介绍其中活跃次数最多或名声较高的经纪人。

为了帮助企业有效应对IAB威胁，在文末提供了一些缓解措施。

3、IAB市场

1、 公开论坛

1、RaidForums论坛

（1）网址

https://raidforums.com/

（2）论坛介绍

RaidForums创建于2015年，使用英语，被认为是世界上最大的黑客论坛之一，是一个拥有超过50万用户的大型社区。该论坛同时也是一个暗网市场，主营业务是违禁品交易，特别是盗窃数据交易。该市场通过出售美国各行业公司遭泄露数据的访问权限而声名鹊起。其中包含数百万人的敏感私人信息数据库，如信用卡信息、社会安全号码，以及访问在线帐户所需的用户名和相关密码。

RaidForums的管理员和创始人是一名葡萄牙男子，名为Diogo Santos Coelho，又名Omnipotent，他于今年1月31日应美国要求在英国被捕，并面临刑事指控。自被捕以来，他一直被拘留，直到完成引渡至美国的程序。

（3）论坛服务

市场分为三种类型，如下图

其它售卖的信息包括不限于vpn权限、公司数据库、账号信息，如下图

（3）访问方法

打开网址即可访问，涉及个人身份信息注册信息：个人邮箱

（4）变迁

RaidForums论坛经历来一些变迁，从名字breached论坛到expose论坛再到如今的breachforums论坛（以后可能还会随着时间变化），下面介绍这几个论坛的信息，包括不限于网址、管理员等信息。

1、breached论坛

网址：https://breached.vc/

2023年3月15日站长“Pompompurin”被抓，该男子为21岁美国人康纳·布赖恩·菲茨帕特里克 (Conor Brian Fitzpatrick).

联系方式：omni@rf.to

2、expose论坛

网址：https://exposed.vc/

Breach黑客论坛管理员“Pompompurin”，真名康纳·布赖恩·菲茨帕特里克 (Conor Brian Fitzpatrick) 被抓后，Baphomet接管了Breach论坛的管理，这也证实了网站管理员被拘留的信息

2023年3月21日论坛管理者Baphomet发布最新更新，也表示是Breach论坛最终更新。

Baphomet以文件后缀.asc来发送最新的通知

网址相关：https://baph.is/

在联邦调查局 (FBI) 逮捕后的几天里，巴菲梅特 (Baphomet) 竭尽全力维持 BreachForums 网站的运营，但随后由于担心执法部门渗透到其运营中，做出了永久关闭该市场的行政决定，如下图。

3、breachforums论坛

-       网址：https://breachforums.vc/

现在ShinyHunters 接管了 BreachForums黑客存储库 vx-underground 首先爆料ShinyHunters将于 6 月 2 日推出替代网站。

ShinyHunters 是一个臭名昭著的黑客团伙，于 2020 年首次被发现，通常以在社交媒体个人资料中使用“闪亮”的口袋妖怪头像而闻名，但在其新的 BreachForums 个人资料图片中却神秘地消失了。

该论坛目前处于活跃状态，如下图

1、Xss Forum

（1）网址

https://xss.is/

（2）论坛介绍

XSS 论坛代表“跨站脚本”（一种安全漏洞），最初成立于 2013 年，名称为 DaMaGeLaB。2017 年一名管理员被捕后，该网站经历了品牌重塑过程并重新出现。 2018 年 9 月作为 XSS。

这个以俄语为基础的黑客论坛由俄罗斯管理员运营，其主要用户群是俄语使用者。与其他黑客论坛一样，XSS 也举办有关世界事件的热烈讨论，只是在这里我们发现了更多与俄罗斯网络世界有关的辩论。它包括有关俄罗斯网络犯罪分子、针对俄罗斯的网络攻击或俄罗斯针对俄罗斯威胁行为者和俄罗斯论坛采取的措施的对话。该论坛还主要（但并非总是）支持俄罗斯的政治立场，这一点在俄罗斯和乌克兰之间的战斗开始时就变得非常明显。

如今，XSS 被认为是暗网上俄语社区中最著名、最专业的黑客论坛之一

（3）论坛服务

包括不限于恶意软件、漏洞、和凭证数据库

（4）访问方法

XSS可以在加密和主流浏览器中访问。然而，为了查看和发布内容，用户必须创建一个帐户，并经过XSS管理员的批准，如下图

该论坛有限制性区域和主题，只有通过高级账户的付费会员资格才能够访问。每个用户都会根据他们对论坛的贡献获得一个基于反应得分的用户等级。根据用户的计划，他们需要达到一定的活动水平或在论坛上花费最少的时间才能查看帖子的完整内容。下面的图片包含一篇只有具有至少20个反应的用户才能访问的帖子。

下一个示例包括一篇只限于已成为论坛会员至少100天的用户的帖子。

2、LeakForums论坛

（1）网址

https://leakforums.su/

（2）论坛介绍

LeakForums专注于与社交媒体账户相关的泄露，以及付费黑客工具的交易(键盘记录器、远程访问工具、加壳器、捆绑器)。广为流传的恶意软件，比如Njrat、Adwind和Orcus等，也对注册用户免费开放。当前用户群高达100万。

（3）售卖类型

泄露数据包括：

商业软件序列号(微软Windows、Office、反病毒引擎)

被盗凭证(社交媒体账户)

被黑数据库(数据库数据泄露)

著名木马破解版(Njrat、Adwind、Orcus)

（4）访问方法

邮箱注册，如下图

注册成功之后还需要管理员同意注册，然后将注册的结果发到注册的邮箱，如下图