理解和防范信息窃取恶意软件：综合指南

在过去七年中，Flashpoint 发现信息窃取恶意软件的使用量显著增加。

由于其简单易用、可用性高和成本低廉，它们在威胁行为者中非常受欢迎，使信息窃取者成为勒索软件和其他高影响数据泄露的主要载体。

因此，组织必须保护自己免受这种日益严重的威胁。

在这篇博客中，我们解释了信息窃取恶意软件带来的风险，并概述了安全团队可以采取的必要步骤，以确保敏感数据的完整性。

了解信息窃取恶意软件

信息窃取程序是一种专门用于从受感染系统中窃取敏感信息（例如登录凭据，通常称为“日志”）的恶意软件。

日志对于威胁行为者（尤其是与 Salesforce、Slack 或 Microsoft Office 365 等第三方软件即服务应用程序相关的威胁行为者）来说非常有价值，因为被盗用的凭据可让他们渗透并在系统内横向移动。

非法市场上列出的日志示例，其中包含自动填充信息、浏览器 cookie 以及来自浏览器或任何配置文件的存储密码。

非法市场上列出的日志示例，其中包括网站登录信息和从浏览器窃取的 cookie。

信息窃取者的生命周期和 TTP

即使一个凭证被盗也可能导致数据泄露或网络攻击。

例如，2024 年 1 月，一家欧洲大型电信公司遭遇大规模网络中断，影响了其大约一半的网络流量。

根本原因被追溯到信息窃取恶意软件暴露的一个弱密码。

信息窃取者的生命周期

1. 感染：窃取信息的恶意软件被用来暴露登录凭证，包括在地下市场上出售的弱密码。
2. 曝光：出售的凭证包括访问 IP 网络协调中心 (RIPE) 帐户的权限以及一个关键数据库，该数据库包含欧洲、中东和中亚的 IP 地址及其所有者。
3. 渗透和升级：购买这些凭证的威胁行为者利用弱密码登录组织的 RIPE 帐户并发起进一步的恶意活动。受感染的帐户未启用 MFA 或 2FA。
4. 攻击：恶意行为者造成大规模网络中断，影响了大约一半的网络流量。

信息窃取者 TTP

根据信息窃取者的程度，威胁行为者可以调整其 TTP 以绕过安全措施，因此组织必须实施全面的防御措施。

MITRE ATT&CK 中的以下标签有助于定义与信息窃取恶意软件相关的常见 TTP：

1. 有效账户（T1078）：通过信息窃取者日志获得，无论是在 Telegram 频道、订阅服务还是俄罗斯市场等场所。
2. 命令和脚本解释器 (T1059)：执行命令来部署恶意软件。
3. 混淆文件或信息 (T1027)：通过混淆技术避免检测。
4. 来自密码存储的凭证（T1555）：窃取信息的恶意软件从存储中提取密码。
5. 查询注册表（T1012）：窃取信息的恶意软件收集额外的系统和用户信息。 
6. 来自信息存储库的数据 (T1213)：攻击者从各种信息存储库收集数据。 
7. 通过 Web 服务泄露（T1567）：数据被泄露到攻击者控制的外部 Web 服务器。
8. 为影响而加密的数据（T1486）：泄露的数据在泄露前经过加密或压缩。

防范信息窃取恶意软件

步骤 1：实施有针对性的安全措施

防范信息窃取者最有效的方法之一是确保采取具体的、有针对性的安全措施。

随着组织越来越依赖第三方服务和平台，这一点变得更加重要。

以下最佳实践将大大降低信息窃取者带来的风险：

1. 使用强密码和多因素身份验证：增加额外的安全层，使攻击者更难以获得未经授权的访问。

2. 轮换或更新凭证：定期更改密码可限制攻击者利用被盗凭证的机会。

3. 安装网络访问控制：仅允许从受信任的位置或特定 IP 范围进行访问。

4. 监控受损会话 cookie 的使用情况：部署监控工具并教育员工退出会话和清除浏览器 cookie 的重要性。

5. 监控第三方或承包商：定期审查和审计访问权限。确保承包商遵守相同的安全标准并定期进行安全评估。

虽然其中许多最佳实践已经得到完善并普遍实施，但安全团队必须记住，合规只是第一步。
例如，某些系统和软件可能不需要 MFA 或提示用户更新密码。

但是，组织必须强制使用 MFA 或 2FA 并定期更新凭证。

尽管这些步骤很基本，但威胁行为者经常利用这些漏洞渗透受害者系统，即使在较大的组织中也是如此。

步骤 2：监控被盗日志

在确保基础保护措施到位后，希望防范信息窃取恶意软件的组织需要监控非法市场，以查找任何据称来自组织或相关第三方的被盗日志。

然而，如果没有全面的威胁情报来源，这样做将是一项重大挑战；因为有成千上万的 Telegram 频道、订阅日志服务和日志商店。

我们观察到恶意行为者试图通过以下域名访问组织的多个实例：

1password.com
atlassian.net
greenhouse.io
okta.com
salesforce.com
service-now.com
sharepoint.com
slack.com
splunkcloud.com
zendesk.com
zoom.us

步骤 3：主动获取日志并将其从非法市场中删除

除了监控之外，组织可能还需要考虑主动获取日志并将其从非法市场中删除。

使用Flashpoint 的信息请求 (RFI) 服务，组织可以请求我们的情报分析师代表他们获取列表并采取预防措施将其从日志商店中删除。

在非法市场上出售的被盗示例。

步骤 4：利用洞察力领先于潜在威胁

最终，组织需要随时了解新兴的信息窃取趋势和技术。

信息窃取程序的新变种不断在非法市场上宣传，并且每个变种都提高了绕过防御措施的能力。

利用Flashpoint Ignite等全面的威胁情报源，安全团队可以对威胁形势有无与伦比的了解。

通过一个易于使用的平台，组织可以洞悉深网和暗网、开源情报、漏洞和违规数据。

借助 Flashpoint 的大量收集和完成的情报报告，安全团队可以领先于潜在威胁。

使用 Flashpoint 保护自己免受信息窃取恶意软件的侵害

信息窃取恶意软件对组织构成重大风险，但只要采取基于最佳数据和情报的正确安全措施，这些风险就可以得到缓解。

通过遵循这些步骤，安全团队可以构建针对信息窃取者的弹性防御，确保对关键资产进行强有力的保护。

原文地址：https://blog.csdn.net/qq_29607687/article/details/140536330

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！