信息窃取恶意软件是现代公司的主要威胁载体之一。然而,许多安全团队仍然专注于泄露的凭据,并且仍然没有意识到感染了信息窃取程序恶意软件的设备所带来的重大威胁。
这篇Flare解释文章将深入研究窃取恶意软件的生命周期,并提供检测和修复技巧。
什么是信息窃取恶意软件?存在多种信息窃取恶意软件变体,但我们经常遇到的主要群体是Redline、Raccoon、Vidar和Titan。这种恶意软件会感染受害计算机并导出保存在浏览器中的密码,以及操作系统版本、IP地址、剪贴板数据、浏览器历史记录、保存的信用卡和加密货币钱包数据等主机数据。
然后,恶意软件将此数据发送回威胁参与者的命令和控制基础设施。它随后在专门的暗网市场上作为单独的列表出售,或通过专门的网络犯罪Telegram渠道分发。
窃取者恶意软件生命周期 – 恶意软件即服务供应商
随着网络犯罪生态系统的发展,恶意软件商品化的趋势越来越明显,信息窃取恶意软件也不例外。
恶意软件即服务供应商在专门的Telegram频道上以每月固定价格出售对主要信息窃取器变体的访问权限,通常从100美元到300美元不等,具体取决于恶意软件的年龄;并提供终生订阅。
买家还可以访问链接到命令和控制基础设施的后台网站,该后台网站可用于在集中位置收集受害者的日志。
窃取者恶意软件生命周期 – 分发
购买信息窃取恶意软件的威胁行为者有责任将恶意软件分发给受害者。这种分布通常通过三个主要途径发生:破解软件下载、非法广告和针对组织的针对性攻击的鱼叉式网络钓鱼电子邮件。
一旦将信息窃取程序恶意软件下载到受害者的计算机上,它就会自动执行并尝试与C2基础设施建立通信。成功通信后,凭据和主机数据将被发送回威胁参与者。
窃取者恶意软件生命周期 – 转售
绝大多数信息窃取恶意软件来自无法访问公司IT环境的家庭计算机。在许多情况下,威胁行为者利用信息窃取恶意软件来访问VPN环境、流媒体服务和其他基本的消费者应用程序。但是,确实提供对公司IT环境的访问的日志受到高度重视。
Flare公司每周处理超过100万份信息窃取恶意软件,并估计至少有1%包含对公司IT环境的访问。信息窃取恶意软件通常通过四个主要渠道之一分发:
俄罗斯市场Genesis Marketplace的公共电报室,私人“VIP”电报室
Flare的SaaS网络情报平台发现在俄罗斯和Genesis市场上出售的日志带有一个基本的保存凭据列表,这些凭据保存在浏览器中。购买时会提供有关受害者机器和密码的完整信息。
这些市场专为“购买”特定凭据的威胁行为者而设计,凭据的价格通常会根据所售信息的类型而有很大差异。例如,在Genesis市场上列出的受感染设备的平均价格为14.39美元,但在列出的医疗保健领域中,价格跃升至93.91美元,并且可以使用银行服务使每台设备的价格超过110美元。
Telegram上的私人数据频道广告
通过Telegram分发的数据完全不同,它们通常出现在包含数百或数千个单独日志的大型zip文件中。它们通常分布在公共Telegram房间中,但也有相当一部分在私人VIP“付费访问”Telegram频道中共享。
这些通常每月花费300-900美元,并且仅限于10-15个用户。这为通道中的威胁行为者提供了排他性,使他们能够挑选并利用最有价值的日志,然后他们可能会在以后被泄露到公共电报室中。
在公共Telegram频道中免费提供日志
窃取者恶意软件生命周期 – 初始访问代理
许多活跃在exploit.in和xss.is等暗网论坛上的初始访问经纪人会筛选在Telegram的VIP频道以及俄罗斯和Genesis市场上发现的数百万信息窃取恶意软件。
他们的目标是识别包含公司访问权限的日志,然后可以使用这些日志来建立和扩展公司访问权限。购买已经拥有多组公司凭证的日志可以显着简化危害公司的过程。
它允许威胁参与者专注于验证和扩展初始访问,而不是最初建立它。一旦访问得到验证,初始访问代理(IAB)就会拍卖已建立的访问,价格从数千美元到数万美元不等,具体取决于受害组织和建立的访问级别。
来自Exploit.in的帖子出售对公司环境的访问权限。请注意,除了受害者正在使用的AV之外,威胁参与者还列出了有关受影响公司的重要信息。投标起价为1000美元,递增1000美元,“立即购买”价格为10000美元。
使用Flare检测和修复信息窃取恶意软件
Flare的SaaS平台为组织提供高价值、量身定制的威胁暴露管理。Flare可检测数百个暗网市场和论坛、数千个非法Telegram频道和明确的网络风险来源的威胁。