企业日益增长的数字依赖为恶意行为者创造了更多的机会。这引发了一系列网络安全威胁，包括各种形式的恶意软件，如勒索软件、间谍软件、广告软件和木马程序。其中，一个快速增长的领域是窃取信息的恶意软件，被称为“信息窃取程序”（infostealers）。与以信息为要挟的勒索软件不同，信息窃取攻击是秘密发生的，其增长是由连接设备的爆炸式扩展以及在暗网网站上交易信息的便利性推动的。

信息窃取程序是恶意软件即服务（MaaS）的一种形式，它从受感染设备的日志文件中提取数据，并将这些文件出售并发布在暗网上。与其他类型的MaaS一样，这种恶意软件可以从暗网以低廉的价格租用，以实施网络攻击。MaaS模式降低了进入门槛，同时也提高了风险。一旦安装，该软件就会秘密地从受损设备收集数据，包括网络浏览器、电子邮件、社交媒体账户、cookie、加密钱包和游戏应用程序等。

信息窃取程序主要收集大量的个人信息，如用户名、密码、出生日期、家庭住址、电子邮件、银行账号、信用卡信息、手机号码、cookies和会话ID。一项数据可以更直观地了解该问题的严重性：从2021年到2022年，信息窃取程序在暗网上出售的凭据数量增长了150%。

        信息窃取程序攻击策略

大多数信息窃取程序依靠欺骗用户下载并将其安装到他们的本地设备上来实现。威胁行为者通常会伪装成免费的电子游戏副本，甚至杀毒软件，利用社交媒体和虚假网站（以及其他手段）说服受害者下载并运行程序。一旦用户运行它，该恶意软件就会从系统文件夹中复制数据，这些文件夹通常包含身份验证或个人信息——通常是web浏览器的自动填充存储库，以及“桌面”和“文档”等文件夹。

这些文件被泄露到远程服务器上，并打包成易于阅读的个人信息“日志”，然后可以卖给其他威胁行为者，或用于进一步渗透和持久访问受害者的计算机。虽然大多数目标都是个人电脑，但大量高度敏感的信息可能会通过客户和员工给组织带来重大风险。接下来，让我们深入了解威胁情况并探讨组织面临的风险。

        组织面临的威胁

今年的《黑莓全球威胁情报报告》（Blackberry Global Threat Intelligence Report）将“信息窃取程序”列为制造业面临的最突出威胁、政府机构面临的最常见风险，以及医疗保健领域最令人担忧的网络问题之一。

此外，埃森哲（Accenture）指出，“信息窃取程序”是2022年地下网络犯罪市场中讨论最多的恶意软件话题之一。仅在俄罗斯市场上，从2022年6月到2023年2月，可供购买的信息窃取程序日志数量就增长了150%。

究其原因，这种增长是由易用性、相对较低的成本和暴露信息（例如明文凭据、信用卡信息、ID号码等）的极高价值推动的。卡巴斯基发现，现在近四分之一（24%）以“即服务”形式出售的恶意软件都是信息窃取程序。进入门槛的降低使技术知识或资本有限的恶意行为者能够轻松地部署软件来访问网络。此外，他们还会进入交易被盗数据的市场，以获取信息窃取程序日志。再加上传统的网络防御解决方案通常只关注网络内的威胁，这意味着许多组织根本意识不到该威胁，直至为时已晚。

        信息窃取恶意软件的传播

一旦网络犯罪分子订阅了MaaS或从暗网购买了信息窃取程序，下一步就是感染尽可能多的设备。有多种策略可以实现这一点，具体包括：

· 将软件嵌入到文档中，并将其作为钓鱼邮件的附件发送，诱使人们打开它；

· 建立一个网络钓鱼网站——一个反映受信任组织的域名或标志，加上一个令人信服的设计，往往就能欺骗人们相信这是一个合法的应用程序，并在不知不觉中下载信息窃取程序；

· 将代码添加到应用程序中，例如移动应用程序，web浏览器或浏览器扩展，然后让该应用程序可从流行的应用程序商店下载；

· 在谷歌广告和Facebook广告上投放广告，以欺骗更多的人下载他们的恶意软件。这种策略非常有效，以至于联邦调查局（FBI）特意发布了一份针对它的警告声明；

· 在YouTube等社交媒体和流媒体网站上推广下载链接，声称可以分享流行视频游戏或其他类型软件的免费副本或附加组件。

信息窃取程序攻击越来越多地转向企业，不法分子希望获得专有信息、客户数据库、财务记录、知识产权和商业机密，然后在暗网上出售。被盗的凭据、cookie或浏览器指纹数据使网络犯罪分子能够劫持会话，绕过多因素身份验证（MFA），进入网络并访问关键业务信息。然后，该恶意软件会将数据发送给网络罪犯，有时会通过第三方服务器（如discord服务器或Telegram）发送数据，以保护黑客的匿名性。

        凭据问题

信息窃取程序窃取的数据主要来自浏览器中的自动填充和密码管理器。此外，该恶意软件还可以从设备上的文件夹、浏览器cookie、加密货币钱包中窃取文件，以及从VPN、Discord或Telegram等其他服务中窃取信息。

以美国为例，4500万人依靠基于浏览器的密码管理器来保护他们的在线凭据。不幸的是，这意味着他们的凭据（和其他保存的数据）是明文的，很容易被信息窃取程序窃取。被盗的凭据可被用于各种方式，包括帐户接管（ATO），因为它们是明文的，很容易与各自的网站/服务相关联，密码管理器通常会记录使用凭据的URL。随着密码重复使用的程度越来越高，暴露的凭据可能会引发凭据填充和密码喷洒攻击，从而危及其他网站或组织。

另一个日益增长的趋势是，恶意行为者可以利用信息窃取程序从受害者的浏览器中获取cookie，然后将cookie复制并粘贴到他们的浏览器中，并使用VPN跳过身份验证，从而绕过MFA。

        企业机遇与影响

如果员工或客户拥有在公司设备上安装软件的特权，那么该资产可能会通过寻常载体受到信息窃取程序的攻击，从而造成公司信息泄露。特别是随着远程和混合工作的兴起，客户和员工越来越多地使用个人设备登录公司网络，这使得组织无法有效地缓解这一漏洞。如果受害者在浏览器密码管理器中保存了公司凭据或信息（例如基于web的电子邮件访问），那么这些信息可能会被妥协并用作渗透组织的初始访问权限。

然而，风险还并不止于此。密码重复使用仍然是一种极其普遍的做法——一项研究发现，人们平均重复使用一个密码高达13次。如果员工为工作应用程序选择了与个人应用程序相同的密码，并且该凭据通过信息窃取程序被泄露，那么攻击者就会试图将其用于他们可以识别的所有相关帐户。这种操作被称为“凭据填充”或“密码喷洒”，即用户名已知，只是反复猜测密码。由于组织无法控制个人在其设备上为个人帐户使用的密码，因此主动监控和筛选凭据泄露以缓解密码重用的脆弱性非常重要。

调查和修复数据泄露的相关成本十分巨大，更不用说还有诉讼和罚款等威胁。未能保护客户信息可能会对公司的声誉产生负面影响，并损害客户和员工的信任感。所有这些都会分散人们对核心业务的注意力，阻碍创新。

        被盗信息如何在暗网上流传

一旦一台设备被感染，数据被窃取，不法分子就有多种选择来利用窃取的信息赚钱。他们可以自行利用这些数据进行欺诈，也可以在暗网上把这些数据卖给其他网络犯罪分子。这些数据通常以日志的形式打包和出售，日志是每台被入侵计算机的全面信息配置文件。有很多专门的市场（比如Russian Market和the Racoon Stealer）都在暗网上交易信息窃取程序的日志，每月的订阅费在100美元到300美元之间不等。

网络犯罪分子利用被盗资产获取经济利益的方式有很多，包括使用被盗信用卡信息购买商品，使用暴露的个人信息（如姓名、地址、社会安全号码、出生日期等）开设新卡，或者以受害者的名义贷款。这些数据还可以通过增加信息可信度来支持网络钓鱼或社会工程活动。

当企业成为目标时，威胁行为者会使用日志中被盗的凭据来获得对公司网络的未经授权访问。如前所述，在某些情况下，它们可以绕过MFA并跳过身份验证。这种未经授权的访问可能会导致公司敏感数据的进一步提取或勒索软件的部署，进而造成重大的经济损失和声誉损害。

        预防和缓解措施

信息窃取程序尤其难以防范，因为他们利用了网络安全中最薄弱的环节——人类行为。信息窃取程序并非依靠复杂的多步骤攻击来破坏系统，而是说服用户“邀请他们从前门进来”。

信息窃取程序通常通过以下途径产生：

· 供应链攻击——恶意行为者以供应链中不太安全的元素为目标，比如电力系统或数据网络，并安装无法检测到的恶意软件来访问更敏感的系统和文件。一旦病毒感染了访问公司资源（例如VPN或内部网站）的系统，获得访问这些资源的权限就变得微不足道了。

· 无文件（FILELESS）攻击——信息窃取程序通常采用无文件恶意软件的形式，它使用本地合法工具渗透系统，而不像传统的恶意软件需要威胁行为者在企业系统上安装代码。因为没有任何东西是用无文件恶意软件写入磁盘的，所以传统的端点安全解决方案很难检测到。

        传统威胁缓解战略的利弊

现代端点检测和响应（EDR）工具、反恶意软件功能和其他威胁缓解策略正在不断发展，以对抗信息窃取程序。然而，它们往往不足以有效地抵御这些攻击。

端点检测和响应（EDR）

EDR使公司能够从端点设备收集和分析数据，从而更好地了解威胁机制以及它们如何在网络中传播。它分析来自端点的遥测数据，以获取威胁情报，安全团队可以使用这些情报来了解以前的攻击是如何发生的，未来的威胁可能如何实现，以及组织可以做些什么来防止这些攻击。EDR技术允许管理员隔离受到攻击的端点，以防止攻击在网络中进一步传播。

虽然有些元素可以自动化，但安全团队仍然需要大量的手工工作。检查隔离文件并确定它们是否是合法威胁需要人工参与，这可能会消耗大量时间和资源。

除了这种手工负担之外，EDR的其他缺点还包括：

· 错报和误报——EDR解决方案不会删除可疑的恶意软件，而只是捕获它们认为是威胁的文件，这可能会导致误报。

· 培训压力——员工必须接受培训，以准确区分真正的威胁和误报，这对于繁忙的安全团队来说可能是一项繁重的任务。

反恶意软件

反恶意软件通常采用三种策略来保护系统免受攻击：

· 签名（基于恶意软件检测）：使用已知的软件组件及其数字签名来精确定位恶意软件，通常用于键盘记录程序，广告软件和其他常见类型的恶意软件。

· 行为（基于恶意软件检测）：这种方法检查软件的行为来评估它是否恶意。

· 沙箱：这是用来隔离潜在的恶意文件，在它们可以感染企业系统之前。

虽然反恶意软件确实提供了一些安全好处，但也有一些缺点，包括：

· 系统减速——这些程序会对系统速度产生负面影响，还会导致网络滞后。

· 无零日防护——反恶意软件只能识别数据库中先前报告的威胁，这意味着它无法防止零日攻击。这是打击信息窃取程序的一个巨大限制；例如，2022年，RedLine信息窃取程序利用一个影响所有Chrome浏览器的零日漏洞，从三星、Zoom、思科和沃达丰等公司窃取数据。

对密码重用无能为力

可以说，EDR和反恶意软件的最大缺点是它们无法识别公司网络外围的威胁。这意味着它们无法解决上面概述的密码重用漏洞。减轻凭据问题是实现强大的组织安全态势，以抵御信息窃取程序威胁的核心组成部分。因此，组织必须将密码安全作为其信息安全响应的一部分。

        实施暗网监控

考虑到从信息窃取程序攻击中收集到的大部分数据最终都在暗网，监控这些内容以及其他深层网络来源是一道关键的防线。为了有效地对抗这种威胁，公司必须集成一种解决方案，该解决方案可以持续扫描暗网中的被盗凭据，并在第三方泄露或信息窃取程序日志中暴露敏感信息或凭据时主动向组织发出警报。

通过这种方法，一旦检测到泄露，公司就可以保护用户的帐户并强制重置密码，这样威胁者就无法登录。这可以防止由信息窃取程序日志中包含的数据引起的更大、更灾难性的破坏。

        结语

最近的一项研究发现，与去年同期相比，2023年第一季度涉及信息窃取程序的事件增加了一倍多。当涉及到由暴露的凭据和个人信息引起的漏洞时，早期检测至关重要。

这些数据非常危险，因为它有助于规避传统的EDR和反恶意软件解决方案，允许威胁行为者用合法身份验证或网络钓鱼攻击的外表伪装自己，增加可信度。如前所述，信息窃取程序也可以绕过MFA控制，增加了另一层风险。

与任何网络安全威胁一样，主动、分层的方法是最好的防御措施。随着威胁形势的不断演变，企业不能对此视而不见，必须了解更多关于信息窃取程序的信息，并积极地面对这种日益增长的风险。

参考及来源：https://5590003.fs1.hubspotusercontent-na1.net/hubfs/5590003/a.%20Resource%20Hub%20Downloads/enzoic-infostealers%20booklet.pdf