信息窃取者(Info-stealers)是一种恶意软件,旨在从受害者系统中提取密码等敏感信息。信息窃取者已经成为网络犯罪论坛中讨论最多的恶意软件类型之一。
让我们看看信息窃取者最近是如何发展成为威胁的。然后,我们将研究一个特定的窃取程序,它是免费开源的,可以用于未来的攻击。
窃取信息的人正在增加
窃取信息的人已经存在了几十年。但在过去的几年里,我们看到这种进入网络的方式呈爆炸式增长。凭据被盗是进入公司网络的常见入口点,通常会导致大型勒索软件事件。
对于一个恶意的行为者来说,购买信息窃取器的过程就像你或我购买巧克力或新衣服一样容易。在暗网上有数十种攻击工具在出售,每一种都有适合于大量攻击类型选择的独特怪癖。
窃取信息的人可以附加在电子邮件或盗版软件上。威胁行为者还可以通过其他方式入侵您的网络,然后丢弃窃取信息的人,以收集尽可能多的信息。
然后,你被盗的凭据或其他信息会发生什么,这取决于威胁参与者的“商业模式”。他们中的一些人窃取证书,然后在暗网上出售。其他人则部署勒索软件或寻求其他方式直接从受影响的组织中获取价值。
暗网上的一个俄罗斯市场甚至开始接受“通缉”域名的请求。威胁行为者可以提出对特定域的请求,并让其他人处理对该组织的“初始破坏”(initial access broker)。这些被称为初始访问代理。暗网市场在过去的4-5年里确实发生了变化,并开始以类似于合法商业的专业精神运作。
Stelarium: GitHub上的一个非常先进的信息窃取器
它的独特之处在于它是开源的,而不是隐藏在暗网上的付费墙后面,这一点是独一无二的,它就是Stelarium。Stelarium是GitHub上免费提供的一种高级窃取工具,用C#编程语言编写。与SecurityScorecard研究人员过去观察到的窃取信息的人相比,Stelarium窃取的信息最多。
我们像我们一样了解恶意行为者,如果我们很快看到Stelarium在黑客活动中积极使用,我们不会感到惊讶。
当部署到受攻击系统时,Stelarium会记录并从主机提取信息。然后,这些日志可以被传输到由恶意软件操作员运行的不协调通道。Stelarium使用webhook连接到Discord通道并传输日志数据。
Stelarium试图收集尽可能多的数据,这些数据可以存储在受害者的计算机上。这可能包括存储在浏览器中的密码、历史记录和书签以及Cookie等数据。该恶意软件还可以从几个流行的VPN应用程序中收集信息。
保护您的组织免受信息窃取者的侵害
稳固的周边控制是防范信息窃取攻击的关键。这意味着防止垃圾邮件进入员工的收件箱,并阻止员工在浏览网页时下载内容。
多因素身份验证(MFA)也很重要。强密码仍然是非常必要的,但这些额外的保护层只会让它变得更好。您在关键资产前设置的身份验证因素越多,它们受到的保护就越好。
但所有这些都不能保证最终不会有什么东西进入你的网络。当确实发生了一些事情时,您需要清楚地看到您的所有终端以检测任何可疑活动,以便您可以尽快识别和隔离受影响的计算机。
你应该考虑一下在信息窃取事件中被盗的是什么。这可能包括员工在设备上拥有的任何个人信息,以及公司机密。密码重置是必要的,以确保恶意软件在从计算机中删除后不再构成威胁。
使用SecurityScorecard保护您的敏感数据
随着组织希望保护敏感信息,他们需要持续了解其复杂的IT生态系统。SecurityScorecard的安全评级平台可让您一目了然地了解数据保护控制的有效性。我们平台的A-F评级标准提供了十组风险因素的由外而内视角,以便组织可以持续监控、补救和记录其数据保护活动。
了解您的组织如何应对技术娴熟的对手是任何安全计划的关键。我们的主动安全服务可以确定有效性并识别您的安全控制中的任何漏洞,从而将知识的力量从攻击者手中夺回,并将其放回应有的位置——在您的控制之下。
立即申请免费即时记分卡,加入24,000多个信任SecurityScorecard的团队,帮助监控、缓解和解决安全风险。
