A quantitative analysis of the relevance of underground forums in cyber threat intelligence

In a context of increasing complexity of cyber threats due to growing interconnections and dependence on technologies, organizations have become more vulnerable to a wide range of cyber attacks. Cyber Threat Intelligence (CTI) has emerged in this scenario as a fundamental element for collecting, analyzing and disseminating timely and precise information relating to potential cyber threats. The main purpose of the CTI is to provide organizations with the information necessary to improve their resilience to cyber attacks and therefore to effectively anticipate, detect and respond to cyber incidents. In the field of CTI there is a wide range of data sources, both public and private, to extract actionable threat intelligence data. Some researchers have shown interest in studying communication channels within the deep and dark web frequented by hackers, particularly focusing on underground hacker forums, to understand how hackers communicate, the key threat actors, understand the topics they discuss, and ultimately try to predict and prevent cyber threats in the early stages. However, a problem not addressed in the literature is to determine whether the information contained in hacker forums is relevant in the CTI context, and try to quantify this relevance, to guide the search for information in the most relevant forums. The purpose of this study is to define an approach to evaluate the relevance of information extracted from hacker forums from different perspectives through the use of Threat Intelligence metrics based on IoCs and TTPs contained within them. We analyze a large dataset of hacker forums called CrimeBB which includes around 32 underground forums, to provide a broad view of hacker forums. Our methodology allows us to evaluate and characterize the CTI information shared within hacker forums and to study their different trends. The results show low overlap in IoCs between various hacker forums, with a maximum overlap level of 9% between each pair of forums, suggesting that each forum specializes in specific attack techniques or campaigns. Larger forums tend to have more IoCs and TTPs volume due to their larger active user base. Many discussions on the techniques are related to the dissemination of tutorials and the discovery of information about the victim’s systems to carry out cyber attacks. Additionally, some forums focus on exploits and scripts for gaining an advantage in online games and stealing game accounts. Our methodology effectively allows us to analyze with less effort the type of CTI information and the nature of the discussions contained in each hacker forum and to more easily search for relevant information based on the use case.

In un contesto di crescente complessità delle minacce informatiche a causa delle crescenti interconnessioni e dipendenza dalle tecnologie, le organizzazioni sono diventate più vulnerabili a un’ampia gamma di attacchi informatici. La Cyber Threat Intelligence (CTI) si configura in questo scenario come un elemento fondamentale per raccogliere, analizzare e diffondere informazioni tempestive e precise relative alle potenziali minacce informatiche. Lo scopo principale della CTI è fornire alle organizzazioni le informazioni necessarie per migliorare la loro resilienza agli attacchi informatici e quindi per anticipare, rilevare e rispondere efficacemente agli incidenti informatici. Nel campo della CTI esiste un’ampia gamma di sorgenti di dati, sia pubbliche che private, per estrarre dati utilizzabili dall’intelligence sulle minacce. Alcuni ricercatori hanno mostrato interesse nello studio dei canali di comunicazione all'interno del deep e dark web frequentato dagli hacker, concentrandosi in particolare sui forum clandestini degli hacker, per comprendere come gli hacker comunicano, i principali autori delle minacce, comprendere gli argomenti di cui discutono e, infine, cercare di prevedere e prevenire le minacce informatiche. minacce nelle fasi iniziali. Tuttavia, un problema non affrontato in letteratura è quello di determinare se le informazioni contenute nei forum di hacker siano rilevanti nel contesto CTI, e provare a quantificare questa rilevanza, per guidare la ricerca di informazioni nei forum più rilevanti. Lo scopo di questo studio è definire un approccio per valutare la rilevanza delle informazioni estratte dai forum di hacker da diverse prospettive attraverso l'uso di metriche di Threat Intelligence basate su IoC e TTP contenuti al loro interno. Analizziamo un ampio set di dati di forum di hacker chiamato CrimeBB che comprende circa 32 forum clandestini, per fornire una visione ampia dei forum di hacker. La nostra metodologia ci consente di valutare e caratterizzare le informazioni CTI condivise all'interno dei forum di hacker e di studiarne le diverse tendenze. I risultati mostrano una bassa sovrapposizione di IoC tra i vari forum di hacker, con un livello massimo di sovrapposizione del 9% tra ciascuna coppia di forum, suggerendo che ciascun forum è specializzato in tecniche o campagne di attacco specifiche. I forum più grandi tendono ad avere più volumi di IoC e TTP a causa della loro base di utenti attivi più ampia. Molte discussioni sulle tecniche sono legate alla diffusione di tutorial e alla scoperta di informazioni sui sistemi della vittima per effettuare attacchi informatici. Inoltre, alcuni forum si concentrano su exploit e script per ottenere un vantaggio nei giochi online e rubare account di gioco. La nostra metodologia ci consente effettivamente di analizzare con meno sforzo il tipo di informazioni CTI e la natura delle discussioni contenute in ciascun forum di hacker e di cercare più facilmente informazioni rilevanti in base al caso d'uso.