Infostealer kötü amaçlı yazılım, kurumsal bilgi güvenliği ekipleri için en önemli ve yetersiz risk vektörlerinden biridir. Infostealers, bilgisayarları enfekte eder, aktif oturum çerezleri ve diğer verilerle birlikte tarayıcıda kaydedilen tüm kimlik bilgilerini çalın, daha sonra bazı durumlarda kendi kendini sonlandırmadan önce komut ve kontrol (C2) altyapısına dışa aktarırlar.
Bu makale, tehdit aktörlerinin veri ihlalleri oluşturmak ve fidye yazılımlarını dağıtmak için ayrıcalıklı BT altyapısına girmek için kimlik bilgilerini kullanma yollarını araştıracaktır.
Ancak infosterers tek kimlik bilgisi tehdidi değildir. Geleneksel kaynaklardan sızan kimlik bilgileri, kuruluşlar için hala önemli ve önemli bir risktir.
Çoğu kullanıcının düzinelerce uygulamada şifreleri yeniden kullanması şaşırtıcı değildir ve tehdit aktörlerinin SaaS ve şirket içi uygulamalara doğru zorlanması için mükemmel bir fırsat yaratır.
Flare'de şu anda her ay milyonlarca büyüyen ve 2024'te daha da hızlı bir şekilde artmaya ayarlanmış bir sayı olan kırk milyondan fazla stealer günlüklerini izliyoruz. Buna ek olarak, karanlık ağ üzerindeki çöplüklerden 14 milyardan fazla sızdırılmış kimlik bilgilerini izliyoruz. .
Bu, tehdit aktörlerinin sızdırılmış kimlik bilgilerini nasıl elde ettiklerine, dağıttıklarına ve kullandıklarına dair benzersiz bir bakış açısı kazandırıyor.
Sızan kimlik bilgilerini daha iyi anlamak için, bunları sızdırıldıkları yönteme ve kuruluşa verdikleri riske dayanarak kategorilere “katmanlamak” yararlıdır.
Jason Haddix, güvenlik profesyonellerinin kimlik bilgisi sızıntılarıyla ilişkili riskleri yöneticiler ve şirket yöneticileri için kolay ve sarf malzemeleri ile açıkça iletmelerini sağlamak için bu yaklaşıma öncülük etti.
Tier 1 sızdırılan kimlik bilgileri, üçüncü taraf bir uygulama/hizmet ihlalinden kaynaklanır ve bu hizmetin tüm kullanıcıları şifrelerini tehlikeye atar ve karanlık web'deki bir veri dökümüne dağıtılır. Çoğu insan “sızdırılmış kimlik bilgileri” hakkında konuşurken düşünür.
Örnek olarak, kurgusal şirket Scatterholt'un yüz binlerce tüketici girişine sahip kullanıcı girişleri olduğunu varsayalım. Saldırganlar Scatterholt'u ihlal eder ve kimlik ve erişim yönetim sistemine erişir, daha sonra bu kimlik bilgilerini çalırlar ve onları karanlık ağa sızdırırlar.
ScatterHolt Corporation'ın tüm kullanıcılar arasında bir şifre sıfırlamasını zorlaması yeterince kolaydır, ancak bu kullanıcıların aynı şifreyi birçok hizmette yeniden kullanmıştır.
Bu sızıntı, tehdit aktörlerinin, aynı şifreyi kullanmış olabilecekleri diğer uygulamalarda binlerce kullanıcı için kaba kuvvet kimlik bilgilerini kurmaya çalışmak için kaba zorlama/çirkin araç kullanmalarına izin verir.
Kuruluşların riski azaltmak için kullanabileceği çok sayıda iyi araştırılmış savunma vardır. İlk ve en önemlisi: Kurumsal çalışan e -postaları için sızdırılmış bir kimlik bilgileri veritabanını izleyin. Tehdit aktörleri, veri ihlallerini kolaylaştırmak için kurumsal e -posta adresleriyle ilişkili şifreler aradıkça bu tek başına büyük bir fark yaratabilir.
İkincisi, kullanıcıların bir zaman planında parolaları rutin olarak sıfırlamasını isteyin, böylece belirli bir şifre ihlal edilirse, zaten diğer kurumsal kimlik bilgilerini döndürmüş olurlar.
Son olarak, çalışanların çeşitli uygulamalara şifreleri randomize etmelerini ve yöneticiyle depolamasını gerektiren bir politika ile bir şifre yöneticisi kullanmanızı ve çalışanların şifrelerde sadece küçük değişiklikler yapma riskini azaltmanızı öneririz.
Kombaryalar tipik olarak, hizmet tarafından düzenlenen veya coğrafi olarak, daha sonra siber suçlular tarafından çeşitli hizmetlere erişmeye çalışmak için kaba zorlama araçlarıyla birlikte kullanılan kimlik bilgisi çiftlerinden oluşur.
Bu kimlik bilgileri genellikle önceki bilinen ihlallerden veya stealer günlüklerinden gelir veya bazen tamamen oluşturulur; Orijinal kaynak asla tam olarak net değildir, ancak kullanıcının tarafındaki sık şifre yeniden kullanımı ile birlikte komodinistler aracılığıyla elde edilebilecek çok sayıda kimlik bilgisi hala onları önemli bir saldırı vektörü haline getirir.
Tier 2 sızdırılmış kimlik bilgileri şirketler için özel bir risk oluşturmaktadır. Bunlar, tarayıcıda kaydedilen tüm şifreleri çalan Infostealer kötü amaçlı yazılımları aracılığıyla doğrudan kullanıcıdan hasat edilen kimlik bilgileridir.
Seviye 2 sızdırılmış kimlik bilgilerinin aşağıdaki nedenlerden dolayı hem şirket hem de kullanıcı için önemli ölçüde artan riskli olduğunu düşünüyoruz:
Bu sızıntı katmanı aynı zamanda stealer günlüklerinden, ancak organizasyon için aşırı risk oluşturur. Taze stealer günlükleri genellikle aktörler tarafından kurbanı taklit ettikleri ve potansiyel olarak 2FA ve MFA kontrollerini atladıkları oturum kaçırma saldırıları için kolayca kullanılabilen aktif oturum çerezlerine sahiptir.
Kurumsal kimlik bilgileriyle dağıtılan yeni bir stealer günlüğü bulmak, parolaların çalışması ve aktörlerin doğrudan kurumsal kaynaklara erişebilmesi muhtemel olduğu için hemen bir olay soruşturması başlatmalıdır.
Mümkün olduğunda, bir infostealer enfeksiyonu sonucunda dağıtılırsa, oturum çerezlerinin riskini azaltmak için kurumsal uygulamalar için TTL sınırlaması.
Sızan kimlik bilgilerini izlemiyorsanız ve birçoğu şifreleri açığa çıkaracağından, birçok çalışanınız için tek faktörlü kimlik doğrulamanız varsa.
Birçok insan, iki faktörlü kimlik doğrulamasının etkinleştirilmesi, çalınan kimlik bilgilerinden yeterince korunma olduğu izlenimi altındadır, ancak gerçek, birçok kez tanık olduğumuz gibi, tehdit aktörlerinin bariyerin empoze ettiği ve teknik ve stratejilere sahip olduğu konusunda çok bilinçli olmasıdır. Engelin üstesinden gelmek için.
İster çalışanların sosyal mühendisliği veya kurbanlarından bir kerelik kodu/şifreyi yakalamak için 2FA botları veya hatta SIM-Swapping ile, aktif olarak kullanılan çok faktörlü kimlik doğrulama kontrollerini atlamanın şaşırtıcı bir yolu vardır. vahşi.
Bu tür saldırılara karşı en iyi savunma, kullanıcıların e-posta veya SMS yoluyla alabileceği tek seferlik parolalar yerine geçici dönen kodlara sahip olan kimlik doğrulayıcı uygulamaların kullanımını içerir, çünkü bu uygulamalar genellikle çok daha güvenlidir ve bir dereceye kadar bir dereceye kadar bir dereceye kadar Söz konusu kullanıcı (genellikle) ikinci bir cihazın kontrolüne sahiptir.
Flare, Karanlık Web'e dağıtılan 14 milyardan fazla sızdırılmış kimlik bilgilerini izler ve Infostealer kötü amaçlı yazılım aracılığıyla yüz milyonlarca sızdırılır.
Platformumuz 30 dakika içinde kurulur ve yüzlerce forum, kanal ve pazarda sızdırılmış çalışan kimlik bilgileri için sağlam bir algılama sağlar.
Ücretsiz denememize göz atın.
Flare tarafından sponsorlu ve yazılmıştır.
2023 Şifre Saldırıları: Öğrenilen Dersler ve Sonraki Adımlar
Fidelity National Financial: Hackerlar 1,3 milyon kişinin verilerini çaldı
2023'ün en büyük siber güvenlik ve siber saldırı hikayeleri
Mortgage firması Loandepot Cyberattack BT Sistemlerini Etkiler, Ödeme Portalı
Xerox, fidye yazılımı çetesi sızıntıları verilerinden sonra iştiraki XBS ABD'nin ihlal ettiğini söylüyor
Kaynak: Bleeping Computer