信息竊取型惡意軟件是企業(yè)信息安全團(tuán)隊(duì)面臨的最重大且常被低估的風(fēng)險(xiǎn)因素之一。這類(lèi)軟件侵入計(jì)算機(jī)后，會(huì)盜取瀏覽器中儲(chǔ)存的所有登錄憑證、活躍會(huì)話的cookies及其他數(shù)據(jù)，接著將竊取到的信息發(fā)送到遠(yuǎn)程指揮控制（C2）服務(wù)器，并且在某些情況下，惡意軟件還會(huì)為了消除痕跡而自動(dòng)銷(xiāo)毀。

那么，惡意行為者如何運(yùn)用憑證進(jìn)行網(wǎng)絡(luò)入侵，突破IT基礎(chǔ)架構(gòu)的安全防線，引發(fā)數(shù)據(jù)泄露事件以及傳播勒索軟件呢？這就是本文主要探討的問(wèn)題。

需要注意的是，信息竊取軟件并非產(chǎn)生憑證威脅的唯一形式，通過(guò)傳統(tǒng)途徑泄露的憑證同樣會(huì)給企業(yè)帶來(lái)持續(xù)而嚴(yán)重的安全風(fēng)險(xiǎn)。

在大多數(shù)情況下，許多用戶十多個(gè)應(yīng)用使用的密碼都是同一個(gè)，這就為威脅者提供了一個(gè)絕佳機(jī)會(huì)，他們可以通過(guò)暴力破解這些賬戶，侵入SaaS服務(wù)和本地部署的應(yīng)用程序。

泄露憑證的分類(lèi)

為了深入理解憑證泄露的問(wèn)題，將這些憑證按照泄露的途徑和它們對(duì)企業(yè)可能造成的風(fēng)險(xiǎn)進(jìn)行分類(lèi)是非常有幫助的。

杰森·哈迪克斯（Jason Haddix）首創(chuàng)了這種分類(lèi)方法，旨在幫助安全專(zhuān)家以通俗易懂的方式向管理人員和企業(yè)高層闡釋?xiě){證泄露帶來(lái)的風(fēng)險(xiǎn)。

一級(jí)泄露憑證

通常是指因第三方應(yīng)用或服務(wù)遭到安全侵犯，導(dǎo)致該服務(wù)所有用戶的密碼被泄漏，并在暗網(wǎng)上以數(shù)據(jù)包的形式被公開(kāi)傳播，這是大多數(shù)人在談?wù)摗靶孤稇{證”時(shí)想到的情況。

舉個(gè)例子，假設(shè)Scatterholt公司管理著數(shù)十萬(wàn)消費(fèi)者的登錄憑證，攻擊者成功侵入Scatterholt后，獲取了其身份和訪問(wèn)管理系統(tǒng)的信息，并將竊取的憑證泄露到暗網(wǎng)上。

對(duì)Scatterholt公司來(lái)說(shuō)，它可以強(qiáng)制要求所有用戶重置密碼，但問(wèn)題在于這些用戶很可能在多個(gè)服務(wù)平臺(tái)使用的是同樣的密碼。

通過(guò)這次泄露，威脅行為者可以嘗試使用暴力破解或滲透測(cè)試工具，對(duì)成千上萬(wàn)在其他應(yīng)用上使用相同密碼的用戶的憑證進(jìn)行破解。

防御一級(jí)泄露憑證

為了降低潛在風(fēng)險(xiǎn)，企業(yè)可以采用多種經(jīng)過(guò)驗(yàn)證的防御措施保駕護(hù)航。首先，也是最重要的一點(diǎn)是：監(jiān)控泄露憑證數(shù)據(jù)庫(kù)，追蹤是否有公司員工的電子郵件賬戶。這一措施極為關(guān)鍵，因?yàn)橥{行為者往往會(huì)有意尋找和公司電子郵件地址相關(guān)的密碼，方便他們進(jìn)行數(shù)據(jù)泄露行動(dòng)。

其次，要求員工定期按照時(shí)間表更改密碼，這樣即使特定密碼被破解，其他與公司相關(guān)的憑證也已經(jīng)更換，從而降低安全風(fēng)險(xiǎn)。

最后，建議使用密碼管理器并制定相應(yīng)規(guī)則，要求員工為不同應(yīng)用程序生成隨機(jī)密碼并使用管理器存儲(chǔ)，這樣可以降低員工在更新密碼時(shí)僅做輕微調(diào)整的風(fēng)險(xiǎn)。

組合列表的特殊情況

組合列表通常由成對(duì)的憑證組成，這些憑證對(duì)要么按服務(wù)分類(lèi)，要么按地理位置分類(lèi)，威脅行為者嘗試使用暴力破解工具獲取各種服務(wù)的訪問(wèn)權(quán)限。

這些憑證往往來(lái)源于之前已知的安全漏洞、竊取記錄，也有可能是完全捏造的，它們的原始出處并不明確。但通過(guò)組合列表能夠獲得大量憑證，再加上部分用戶頻繁重用密碼的行為，給威脅行為者帶來(lái)了一個(gè)不容忽視的的攻擊途徑。

二級(jí)泄露憑證

二級(jí)泄露憑證會(huì)對(duì)公司構(gòu)成特殊的風(fēng)險(xiǎn)。這些憑證是通過(guò)信息竊取型惡意軟件直接從用戶那里收集的，該惡意軟件會(huì)竊取瀏覽器中保存的所有密碼。

二級(jí)泄露憑證顯著增加了公司和用戶的風(fēng)險(xiǎn)，原因如下：

• 一個(gè)信息竊取器日志會(huì)包含用戶瀏覽器中保存的所有憑證信息，這為威脅行為者利用受害者的信息來(lái)對(duì)受害者、IT支持部門(mén)乃至整個(gè)公司實(shí)施攻擊提供了機(jī)會(huì)。
• 這些日志記錄了用戶名、密碼和對(duì)應(yīng)的主機(jī)信息，通常涉及數(shù)百個(gè)不同的登錄賬戶。當(dāng)威脅行為者能夠查看用戶所使用的多種密碼變種時(shí)，他們就占了巨大的優(yōu)勢(shì)。
• 這些日志通常還包含表單填寫(xiě)數(shù)據(jù)，比如密保問(wèn)題的答案，這些答案在用來(lái)繞過(guò)那些設(shè)有密保問(wèn)題的網(wǎng)站安全措施十分有效。

信息竊取器日志的截圖  來(lái)源：Flare

三級(jí)泄露憑證

這一級(jí)別的泄露來(lái)源于信息竊取器日志，會(huì)對(duì)企業(yè)帶來(lái)極高的安全風(fēng)險(xiǎn)。最新的竊取器日志通常包含尚未失效的會(huì)話cookie，威脅行為者可以輕易利用這些cookie冒充受害者，實(shí)施會(huì)話劫持攻擊，有可能繞過(guò)雙因素認(rèn)證（2FA）和多因素認(rèn)證（MFA）的控制。

如果發(fā)現(xiàn)含有公司憑證的新的竊取器日志正在傳播時(shí)，應(yīng)立即啟動(dòng)事件調(diào)查，因?yàn)楹苡锌赡苓@些密碼處于正常工作狀態(tài)，威脅行為者可以直接訪問(wèn)公司資源。

Telegram上的一個(gè)惡意軟件商店  來(lái)源：Flare

防御三級(jí)泄露憑證

盡可能為企業(yè)應(yīng)用程序限制TTL（生存時(shí)間），以降低信息竊取器感染導(dǎo)致的會(huì)話cookie有效被分發(fā)的風(fēng)險(xiǎn)。

并非萬(wàn)能的多因素認(rèn)證

如果不監(jiān)控泄露的憑證，許多員工很可能仍然只使用單因素認(rèn)證，并且大多數(shù)人的密碼可能已經(jīng)遭到泄露。

很多人認(rèn)為，開(kāi)啟雙因素認(rèn)證就能防止憑證被盜，但事實(shí)是，威脅行為者非常清楚雙因素認(rèn)證帶來(lái)的障礙，并且他們已經(jīng)掌握了各種繞過(guò)阻礙的技巧和策略。

比如，通過(guò)社交工程手段對(duì)員工進(jìn)行操作，或是利用雙因素認(rèn)證機(jī)器人來(lái)截獲受害者的一次性密碼或驗(yàn)證碼，又或是進(jìn)行SIM卡置換，都可以繞過(guò)多因素認(rèn)證控制。

對(duì)抗這類(lèi)攻擊最有效的防御措施是使用驗(yàn)證器應(yīng)用程序，這些應(yīng)用程序生成的是臨時(shí)的動(dòng)態(tài)驗(yàn)證碼，而不是通過(guò)電子郵件或短信接收的一次性密碼，相對(duì)來(lái)說(shuō)更安全，在一定程度上確保了相關(guān)用戶擁有并控制著第二臺(tái)設(shè)備。