您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[SpyCloud]:感染后补救指南 - 发现报告
当前位置:首页/行业研究/报告详情/

感染后补救指南

信息技术2023-11-29-SpyCloud高***
感染后补救指南

感染后 补救 指南 一种新的范式 防止勒索软件 Tableof CONTENTS Infostealers如何帮助犯罪分子危害组织03 What's在a恶意软件Lo07 Common盲人斑点在今天的恶意软件感染Respon09 感染后补救:A更多完成Approa12 What是the步骤在感染后Remediatio14 Examplesof感染后补救WithSpyClo19 沟通With受恶意软件感染Employee22 HowSpyCloudCanHe24 为什么我们需要一个新的方法防止随机MWARE 2021年美国企业网络犯罪的成本几乎是 $70亿,勒索软件是一个巨大的贡献者。因此,勒索软件处于从政策制定者到安全团队,甚至董事会的每个人的思想 的董事。在2022年,超过40亿恶意软件尝试被记录勒索软件的尝试超过了过去五次中四次的总和 多年来,清楚地表明没有一家公司太小或太大而无法成为目标没有一个行业可以幸免。它已经成为一个话题 每个企业的级别-勒索软件预防是越来越多的部分 网络安全预算。 尽管86%企业增加安全预算来应对这些问题 攻击,90%我们调查的企业告诉我们,他们受到了 勒索软件在过去的12个月中,大多数两次或更多次。组织意识到威胁正在从他们的防御中溜走, 使勒索软件攻击似乎不可避免。 最终,勒索软件是一个恶意软件问题。通常,不良行为者使用通过恶意软件感染收集的信息或访问 勒索软件攻击的基础。攻击者正在利用受感染的系统渗透有助于攻击的数据,确定潜在的入口点 公司资源,并提供可执行文件。 挑战在于,企业缺乏对infostealer恶意软件的可见性受管理、受管理和非托管设备上的感染访问 网络-以及由此暴露的劳动力应用程序。不了解受感染的设备、用户和应用程序 犯罪分子可以利用本质上直接进入业务,安全团队无法降低勒索软件攻击成功的高风险。 组织可能不是 “ 意识到未被发现恶意软件感染 个人设备代表 勒索软件中的风险差距预防策略。一旦 虹吸的数据是在黑暗的网络上传播, 罪犯可以用它来更具破坏性的活动 -包括他们的下一个勒索软件攻击. TEDROSS SpyCloud首席执行官兼联合创始人 感染后补救指南03 使组织面临勒索软件高风险的关键盲点包括: 对在暗网上传播的凭证和身份数据缺乏可见性,包括恶意软件被盗 关键劳动力应用程序的身份验证数据,这些应用程序为攻击者打开了大门,窃取、加密或擦除公司数据。 BYOD策略允许员工可以在非托管和个人上访问公司应用程序设备,以及对托管设备控制宽松的供应商和承包商,这扩展了对手的攻击面。 在托管和非托管端点上使用影子IT,包括生产力和开发在没有监督的情况下存储敏感公司数据的工具。 不完整的恶意软件感染响应框架,当受损设备重新映像时结束。 基于浏览器的同步功能允许犯罪分子虹吸敏感的企业凭据通过员工的个人设备,没有触发警报。 很明显,我们需要一种新的方法来真正降低勒索软件的风险。 在本指南中,我们将阐明如何缩小恶意软件感染响应中的差距,以阻止昂贵的后续行动网络攻击。我们将首先解释Infostealers如何成为勒索软件攻击生命周期的起点 然后提供具体步骤,通过实施勒索软件预防的新方法来破坏网络犯罪分子: SpyCloud感染后修复™。 感染后补救指南04 告密者如何帮助罪犯 HARM组织 Infostealer是恶意软件工具包的一部分,可以很容易地购买和 使网络犯罪分子能够从 浏览器和FTP客户端,浏览器cookie,自动填充数据,信用卡信息,加密钱包详细信息,具有特定扩展名的文件,聊天记录,已安装程序和正在运行的进程的列表,计算机的全局 唯一标识符(GUID)等。 一旦网络犯罪分子获得了这些信息,他们就可以选择如何 没有来自的数据 “ Infostealers,后续 攻击成为 操作它:实质上更多的diš邪教。 Infostealer是 在DarknetMarketplaces上出售日志 恶意软件虹吸的数据非常有价值,因为它非常准确。除其他外,恶意软件日志包含明文凭据和手段 在现代罪犯的 中央工具 阿森纳。 绕过多因素身份验证(MFA)。 出售此信息的罪犯包括被称为初始访问 经纪人(IAB),用于描述包装的个人或团体的术语并出售对保证工作的网络的访问。他们的结果说明对他们自己来说;例如,创世纪市场是据称使用 罪犯2021年6月违反电子艺术(EA)。他们购买了泄露的登录和cookie数据,允许罪犯冒充 EA员工通过Slack登录并通过社交方式欺骗IT支持工程。IAB还在公共论坛和市场之外运作,销售 直接访问Telegram,Jabber,Signal和Discord中的其他罪犯渠道或直接消息。 TREVORHILLIGOSS 前国防部特别特工和联邦调查局网络工作组成员;SpyCloud现任高级研究员 感染后补救指南05 自己使用信息 恶意软件窃取的数据允许访问受害者的工作和/或个人账户进行欺诈和网络攻击,包括勒索软件。 当恶意软件受害者可识别为员工时,犯罪分子可能会将目光投向渗透组织-将受害者的数据用于与员工无法区分。此数据 可以轻松绕过MFA,并方便访问公司帐户、文件和系统。 使用被盗凭据帐户接管:将凭据从 Infostealer,犯罪分子可以接管不受二次验证保护的账户,像一个验证器应用程序。 使用被盗饼干会话劫持:手里拿着饼干,罪犯可以验证为合法用户,绕过MFA访问活动Web会话。在 2022年,SpyCloud从暗网中重新获取了数百亿个cookie-强调犯罪分子可用的数据规模-并开始将其作为 自动饲料以启用受损会话的快速失效。 犯罪分子越来越多地部署恶意软件,这些恶意软件可能允许对设备进行持久访问或启用隧道通过可信网络。当与infostealer收集的设备指纹结合时,攻击者 如果他们没有持久访问权限,也可能能够简单地模拟该设备本身。他们可能还将更持久的恶意软件与非持久的信息窃取器一起加载以建立rootkit(重新攻击能力)。 不用说,恶意软件攻击允许网络犯罪分子轻松绕过网络防御来加密和/或窃取数据,导致严重的财务和声誉损失。平均勒索软件攻击成本 企业北面100万美元从运营中断以及数据和服务丢失中恢复。但是 来自勒索软件攻击的数据泄露,IBM报告的平均成本为454万美元-而不是包括赎金. 根据Gartner的说法®报告,“恢复成本和由此导致的停机时间 勒索软件攻击,以及声誉损害的成本,可以达到 赎金本身。"1 [1Gartner,“如何为勒索软件攻击做好准备”,PaulFurtado,2022年6月16日。GARTNER是Gartner,Inc.和/或其在 TheU.S.andinternationalandisusedhereinwithpermission.Allrightsreserved] 感染后补救指南06 恶意软件日志里有什么? Infostealer恶意软件日志为网络犯罪分子提供了被盗数据的宝库从受感染的设备吸走。实际上,恶意软件日志是文件的文件夹从受害者设备上窃取的信息创建的。一些最常见的数据 包括设备信息-允许攻击者“指纹”受害者的设备-作为 以及访问的URL,用于登录帐户的凭据,表单自动填充数据,会话Cookie、加密货币信息(包括私钥)和其他 偷窃者特定的数据。一些较新的信息偷窃者,如Rhadamanthys偷窃者,在2022年10月首次观察到,甚至能够从受感染的 设备。 感染机器信息 这是一组关于受害者设备的可靠数据,包括操作系统,处理能力、运行的进程和已安装的软件。这有助于 网络犯罪分子确定哪些系统容易受到额外的攻击,并允许攻击者为未来的仿真制作fingerprint。 凭证 现代Infostealers配备了能够读取 浏览器用来存储凭据的数据库。这给网络罪犯带来了财富 出售或使用的数据以获得对网络的访问权限并横向移动,和/或例如fi 敏感的公司数据。 COOKIES 会话Cookie在一段时间内对给定网站上的用户进行身份验证。通过使用 带有浏览器插件的反检测浏览器,犯罪分子可以轻松地将被盗的cookie导入劫持用户的会话,绕过MFA,并接管帐户,而无需 凭证-本质上成为该员工在您的环境中的克隆。 ! 对SpyCloud在2022年重新捕获的恶意软件日志的分析表明,平均每个员工感染暴露26个独特的企业应用程序。 感染后补救指南07 步骤1恶意软件感染设备 to 访问企业资源。 乔恩 步骤2数据屏蔽 CE 信息、浏览器fingerprint和其他可以曾经冒充过他. TEP暗网上的数据 初始访问经纪人或勒索软件操作员findit。 E业务成为目标 where 和公司资产。他们将数据提供给勒索软件以乔恩的雇主为目标的操作员。 步骤5犯罪分子入侵公司 d个人 诱惑 数据登录到企业资源,绕过MFA,并移动横向增加他们的访问,同时逃避检测。 步骤6随机部署 sto 部署勒索软件并要求在 交换对企业files的访问权。 今天的常见盲点恶意软件感染反应 SpyCloud最新的勒索软件防御报告发现数量同比全面下降 受访者对他们现有的勒索软件缓解技术感到满意-包括数据备份在内的越来越多的列表,网络钓鱼检测、端点保护、UEBA、用户意识培训和威胁情报等。 威胁继续溜走,尽管有许多防御层,但差距仍然存在。此外,恶意软件正在演变 很快,大多数防病毒解决方案无法跟上绕过定期扫描的新菌株的步伐。毫不奇怪,大多数随着勒索软件攻击者继续获得成功,组织对其网络防御策略的信心不足。 在大多数反勒索软件框架中没有得到充分解决的是正确的恶意软件感染响应。尽管如何彻底的过程可能是识别和补救恶意软件感染的影响,你不能修复你不能 见。大多数组织缺乏对未监控或个人设备上的感染的洞察力。他们经常低估他们的风险受管理不足的设备以及暴露于现有监控工具可见性之外的第三方应用程序。 基于浏览器的同步功能 所有现代浏览器都包含同步功能,使用户可以轻松地在设备之间移动并保持其 书签,浏览器历史记录和密码可用。虽然这对用户来说很方便,但它打开了几乎无法发现的网络犯罪分子窃取敏感企业凭据的漏洞。 即使工作设备得到了适当的保护,如果员工在他们的工作和 个人设备,所有保存的工作凭据都可以在家庭网络中可能不安全的个人设备上使用。一旦家用机器感染了恶意软件,盗窃者能够通过该开孔访问保存的企业凭据 企业在其EDR、SIEM或防火墙日志中看不到任何内容。 非托管设备 69%的组织估计,其企业网络上至少有一半的设备是非托管设备,数量超过在过去的几年中,工作习惯发生了变化,远程工作如此普遍 现在它占了25%北美所有的专业工作。也很难想象员工不是访问 工作电子邮件,销售CRM或在个人设备上聊天。因此,很容易理解为什么在一项调查中,79%报告的经理他们非常关注非托管和物联网设备带来的风险,另一项研究发现67%of 组织因使用而经历了安全事件。 感染后补救指南09 管理不足的设备 令世界各地的安全团队感到沮丧的是,员工落后于设备上的安全补丁,将其放入 “受管理的设备”类别。多达40%对最近的一项调查做出回应的工人认为这不是他们的 负责更新他们的工作设备,或引用隐私侵犯,错误的恐惧,或宁愿等待,看看是否有任何错误结果从其他人安装更新之前,他们这样做-实际上确保一些安全补丁被错过。 添加到此,56%许多人承认允许朋友和家人使用他们工作发布的设备购物、游戏或流媒体。安全团队面临的现实是,企业发布的设备越来越多地用作网络威胁的切入点。 第三方供应商和承包商 还存在由第三方供应商和承包商拥有的整个设备类别,这些设备可能缺乏雇用企业所需的保护。许多最近的勒索软件攻击源自不属于 公司,但对他们的公司域有一定程度的特权,通常是为了执行合同任务,例如网站或应用程序开发。最近的一项调查发现59%经历过数据泄露或 由第三方引起的网络攻击。 如果您的公司雇用承包商或有合作伙伴或供应商访问网络,您对他们的