文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

攻击者可以在不适用恶意程序的情况下大规模盗取用户凭证

2024-12-02 10:55

关注

[[443101]]

粗略比较,迄今为止已知的最大勒索软件损失为 4000 万美元。 2021 年 Unit 42 勒索软件威胁报告发现,2020 年勒索软件的平均赎金为 847344 美元,而受害者支付的平均赎金为 312493 美元。 2021 年上半年,平均支付的赎金上涨了 82%,达到 570000 美元。不过这些平均支付赎金的数字是保守的,因为它们只包括支付赎金中的直接金钱损失。还不包括与公司在攻击期间被运营相关的损失,也不包括调查违规行为所花费的资源。

所有这些攻击(BEC、EAC 和勒索软件)都有一个共同点,它们需要具有对目标网络或帐户的访问特权。对于大多数攻击者来说,面对那些拥有普通或低于普通网络防御的目标,伪装成合法用户或通讯员进入网络或账户,仍然是获得秘密访问权限、同时保持低被发现风险的最简单、最经济的方法。通过使用合法凭证和公开可用的技术,恶意行为者可以“逃避防御,盗取和窃取网络中的各种信息”。虽然 APT 通过暴力凭证攻击成功地实现了他们的攻击目标,但在许多情况下,攻击者只是要求不知情的受害者交出他们的安全凭证。

电子邮件凭证盗取技术的发展

BEC/EAC 攻击的利润丰厚,促使攻击者不断修改和升级他们的攻击策略,以绕过各种保护措施。其中一项较新的技术集成了鱼叉式网络钓鱼、自定义网页和复杂的云单点登录生态系统,以诱使用户不经意地泄露其凭证。一种流行的策略是使用看似良性的网页,一旦打开,就会非常模仿流行和常用服务的合法登录屏幕,例如:

Dropbox在一份声明中表示:“这项活动与Dropbox的服务无关。这表明,依赖客户辨别真假的难度越来越大。

当诈骗者使用这种策略时,他们通常会先发送带有诱饵的电子邮件,诱使收件人打开附件或点击网页链接。电子邮件通常聚焦于业务运营的某些部分(包括财务、人力资源、物流和一般办公室运营),并指向一个与需要用户操作的主题相关的附件或链接。这些主题包括汇款、发票、未偿付款项、报价请求(RFQ)、购买确认、装运状态、语音邮件或通过电子邮件发送传真等。为了使电子邮件看起来更合法,一些攻击者以有意义的方式整合了目标的具体信息,包括在电子邮件的主题中。最近的一些邮件主题包括:

一旦打开,电子邮件就会呈现给用户一个典型的登录页面。为了降低怀疑,攻击者经常以加强安全为幌子让用户注销账户。在某些情况下,发送页面时已经包含了用户的电子邮件地址(再次尝试提高请求的合法性),并且只要求输入密码。这些误导性的登录屏幕会发出警报,例如:

模拟Microsoft的恶意登录请求的示例,需要凭证才能访问文档

一个恶意登录请求模拟SharePoint的例子,需要凭证才能访问文档

模拟Microsoft的恶意登录请求的示例,需要凭证才能访问文档

攻击者们还添加了巧妙的策略来进一步欺骗用户。在某些情况下,他们自定义构建他们的“登录”模板,以匹配他们所针对的特定公司使用的公司电子邮件系统的外观和感觉。在其他情况下,他们会根据用户电子邮件地址的域部分自动检测关联公司,然后将该公司的徽标集成到欺诈网页中。

JavaScript示例,用于从受害者的电子邮件地址识别组织,然后将其徽标合并到后续页面中。

此外,许多攻击者正在他们的代码中添加逻辑,以确保用户准确输入凭证。一个格式不正确的电子邮件地址或空白的密码将产生一个错误指示用户重试。攻击者还会对第一次正确格式化的尝试自动做出“密码错误,请再试一次”的反应。这些技术增加了攻击者收到有效密码的可能性,并可能减少谨慎用户的怀疑,这些用户可能首先输入假凭证来查看请求是否合法。

用于验证凭证的 JavaScript 示例

假设诈骗者认为他们让用户打开文件附件的机会太低,或者他们可以创建一个有点可信的完全限定域名。在这种情况下,他们还可以简单地将用户指向合法托管服务上的网站,上面的技术都包含在一个托管页面中。最近用户可能错误导航到的一些恶意网站包括:

用户输入并提交凭证后,Web 浏览器会将 HTTP 发布请求中的信息发送到通常以 *.php 结尾的 URL。作为超文本处理器,PHP 使诈骗者能够轻松捕获任何收到的凭证,对其进行解码并将其存储在数据库中。此外,虽然攻击者可以购买和维护支持这些骗局的 Web 域,但我们看到大量使用以前被攻击和合并的合法域来满足这些骗子的需求。

这种对合法基础设施的恶意使用给网络防御者带来了两个挑战。首先,识别恶意流量是困难的,因为它发生在两个潜在的可信网络之间。其次,一旦识别为恶意活动宿主,阻止合法域名通常是不可能的,因为它也会阻止该域名的合法和经常需要的内容。由于这些原因以及零成本,黑客们越来越多地依靠附加的基础设施来达到他们想要的目的。

为了防止用户在无法登录虚假网站时产生怀疑,诈骗者通常会采用以下方法:

一旦攻击者窃取了有效的用户凭证,他们就离骗取公司或用户的资金更近了一步。攻击者将使用盗取到的凭证对用户的文件、交易和通信进行初步侦察。有了这些信息,攻击者现在可以更好地了解以下情况:识别其他价值目标、了解正常的业务流程和审批链、利用用户的文档或共享文件访问权限来创建自定义网络钓鱼文档,并通过伪装为帐户用户来使用帐户获取经济利益或转向更有利可图的环境。

总结

对于企业或用户来说,检测上述恶意策略可能非常具有挑战性。此外,大多数网络安全产品通常不会自动将这些活动检测为恶意活动,因为诈骗者们在其骗局中使用了合法网页的精确副本,并没有将木马、间谍软件、键盘记录程序或其他恶意软件纳入他们的盗取尝试。 Unit 42 研究人员建议采取以下措施来降低上述策略造成的电子邮件泄露风险:

本文翻译自:https://unit42.paloaltonetworks.com/credential-harvesting/

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯