Site icon 暗网里

凭证仍然是王道:凭证泄露、数据泄露和暗网市场

信息窃取恶意软件是企业信息安全团队面临的最严重、最不被重视的风险载体之一。信息窃取程序会感染计算机,窃取浏览器中保存的所有凭证以及活动会话 cookie 和其他数据,然后将其导出到指挥与控制 (C2) 基础设施,在某些情况下还会自我终止。

本文将探讨威胁行为者如何利用凭证闯入特权 IT 基础架构,以制造数据泄露和分发勒索软件。

然而,信息窃取者并不是唯一的凭证威胁。从传统来源泄露的凭证仍然是企业面临的一个突出且巨大的风险。

毫不奇怪,大多数用户在数十个应用程序中重复使用密码,这就为威胁行为者创造了一个绝佳的机会,可以以暴力方式进入 SaaS 和内部部署应用程序。

Flare目前监控超过 4000 万条窃取者日志,这个数字每个月都在以数百万计的速度增长,并且预计到 2024 年会增长得更快。此外,Flare还监控从暗网转储中发现的超过 140 亿条泄露的凭证。

这使Flare能够以独特的视角了解威胁行为者如何获取、分发和使用泄露的凭证。

泄露凭证的类型

为了更好地了解泄露的凭证,根据泄露的方式以及它们给企业带来的风险将它们“分级”是很有帮助的。

Jason Haddix 首创了这种方法,使安全专业人员能够以简单易懂的方式向经理和企业高管清晰传达与凭证泄露相关的风险。

1 级凭证泄露

第 1 级凭据泄露是由于第三方应用程序/服务违规造成的,并且该服务的所有用户的密码均遭到泄露并分布在暗网上的数据转储中。这是大多数人在谈论“凭据泄露”时想到的。

举个例子,假设虚构的公司 Scatterholt 拥有数十万个消费者登录的用户登录。攻击者突破 Scatterholt 并访问身份和访问管理系统,然后窃取这些凭据并将其泄露到暗网上。

对于 Scatterholt 公司来说,强制所有用户重置密码很容易,但这些用户很可能在许多服务中重复使用相同的密码。

此漏洞允许威胁行为者使用暴力破解/渗透测试工具,来尝试暴力破解其他应用程序上数千名用户可能使用相同密码的凭据。

防御 1 级凭证泄露

企业可以使用许多经过充分研究的防御措施来降低风险。首先也是最重要的是:监控企业员工电子邮件的泄漏凭证数据库。仅这一点就可以产生巨大的影响,因为威胁行为者会故意寻找与公司电子邮件地址相关的密码以促进数据泄露。

其次,要求用户按时间计划例行重置密码,这样,如果特定密码被泄露,他们就已经轮换了其他企业凭证。

最后,Flare建议使用密码管理器,并制定政策,要求员工对各种应用程序的密码进行随机化处理,并将其存储在管理器中,从而降低员工仅对密码进行少量更改的风险。

组合列表的特殊情况

组合列表通常由按服务或地理位置组织的凭证对组成,然后由网络犯罪分子与暴力破解工具结合使用,试图获取对各种服务的访问权限。

这些凭据通常来自以前的已知漏洞或窃取者日志,有时甚至完全是编造的;原始来源永远不会完全清楚,但通过组合列表可以获得大量凭据,再加上用户经常重复使用密码,这些凭据仍然是一个相当大的攻击载体。

2 级凭证泄露

第 2 级凭证泄露给公司带来了特殊程度的风险。这些是通过信息窃取恶意软件直接从用户处获取的凭据,该恶意软件会窃取浏览器中保存的所有密码。

Flare认为第 2 级泄露的凭证对公司和用户来说都会显着增加风险,原因如下:

单个窃取者日志将包含用户在浏览器中保存的所有凭据。这为威胁行为者利用受害者信息对受害者、IT 服务台甚至公司进行社交工程设计创造了绝佳机会。

这些日志包含用户名、密码和主机的纯文本凭据,通常包含数百个不同的登录信息。当威胁行为者可以看到用户使用的几十种密码变化时,他们就拥有了巨大的优势。

这些日志通常包含带有秘密问题答案的表单填写数据,可以有效地用于绕过带有秘密问题的网站。

3 级凭证泄露

这一级别泄漏也来自窃取者日志,但给企业带来了极大的风险。新的窃取者日志中通常包含活动会话 cookie,攻击者可以轻松使用这些 cookie 进行会话劫持攻击,在这些攻击中,他们冒充受害者并可能绕过 2FA 和 MFA 控制。

发现带有企业凭据的新窃取日志时,应立即进行事件调查,因为密码很可能是有效的,行为者可以直接访问企业资源。

防御第 3 级凭证泄露

尽可能限制企业应用程序的 TTL,以降低会话 Cookie 因信息窃取程序感染而传播时仍然有效的风险。

多重身份验证不是灵丹妙药

如果您没有监控泄露的凭据,并且您可能对许多员工进行单因素身份验证,因为他们中的许多人都会暴露密码。

许多人的印象是,启用双因素身份验证足以防止凭据被盗,但现实是,正如Flare多次目睹的那样,威胁行为者非常清楚双因素身份验证所带来的障碍,并拥有克服这一障碍的技术和策略。

无论是通过对员工实施社会工程学,还是使用 2FA 机器人从受害者那里获取一次性代码/密码,甚至是 SIM 卡交换,绕过多因素身份验证控制的方法多得令人吃惊,而这些方法在野外也被广泛使用。

针对此类攻击的最佳防御方法是使用身份验证器应用程序,该应用程序具有临时轮换代码,而不是用户可能通过电子邮件或短信获得的一次性密码,因为这些应用程序通常更安全,并在一定程度上确保相关用户(通常)可以控制第二台设备。

Exit mobile version