感染后补救指南

感染后补救指南 一种新的范式防止勒索软件 ableof CONTENTST Infostealers如何帮助犯罪分子伤害组织03 恶意软件日志中有什么？07 常见的盲点在今天的恶意软件感染响应09 感染后修复：更完整的方法12 感染后补救的步骤是什么？14 使用SpyCloud19进行感染后修复的示例 与受恶意软件感染的员工进行通信22 为什么我们需要一种新的方法来预防随机武器 2021年美国企业网络犯罪的成本几乎是 $70亿，勒索软件成为主要因素之一。因此，勒索软件成为了从政策制定者到安全团队，甚至董事会成员的普遍关注点。2022年，勒索软件事件显著增多。40亿恶意软件尝试被记录，并且勒索软件尝试超过了过去五年中四年的总和，这清楚地表明没有哪家公司太小或太大而不会成为目标，也没有哪个行业会免疫。勒索软件预防已成为企业各个层级讨论的一个话题，并且在网络 安全预算中的占比不断增长。 组织可能没有意识到个人设备 上未检测到的恶意软件感染代 表 勒索软件预防策略中的一个风险缺口。一旦盗取的数据在暗网上流通，犯罪分子可以利用这些数据进行更具破坏性的活动——包括下一次勒索软件攻击。 TEDROSS SpyCloud首席执行官兼联合创始人 “ 03 尽管86%企业增加安全预算来对抗这些攻击，90%我们在调查的企业中，有相当部分（被调查的企业中有多少比例受到影响）表示他们在过去12个月里受到了勒索软件的影响，其中大多数企业遭受了两次或更多次的攻击。组织意识到威胁正在规避其防御措施，使得勒索软件攻击似乎变得不可避免。 最终，勒索软件本质上是一个恶意软件问题。通常，恶意行为者会利用通过恶意软件感染获得的信息或访问权限作为发起勒索软件攻击的基础。攻击者正在利用被感染的系统来窃取数据，以助于攻击、识别潜在进入企业资源的途径，并分发可执行文件。 挑战在于，企业缺乏对连接网络的受管理、未充分管理及未管理设备中信息窃取恶意软件感染情况的可见性，以及由此导致的企业应用所暴露的风险。没有关于被感染设备、用户和应用程序的知识，安全团队无法降低犯罪分子利用这些漏洞实施勒索软件攻击的成功风险。 感染后补救指南 使组织面临勒索软件高风险的关键盲点包括： 缺乏对暗网上传输的凭证和身份数据的可见性，包括恶意软件窃取的关键员工应用认证数据，这为攻击者提供了访问、窃取、加密或删除企业数据的机会。 BYOD策略允许员工可以通过不受管理或个人设备访问企业应用程序，这也将不受严格控制的管理设备的供应商和承包商纳入其中，从而扩大了对手的攻击面。 影子IT在受管理与未受管理的终端上使用，包括存储敏感企业数据且缺乏监督的产品ivity和开发工具 。 不完整的恶意软件感染响应框架，当受损设备重新映像时结束。 基于浏览器的同步功能使犯罪分子能够通过员工的个人设备窃取敏感的企业凭证，而不会触发任何警报。 很明显，我们需要一种新的方法来真正降低勒索软件的风险。 在本指南中，我们将探讨如何缩小恶意软件感染响应中的差距，以遏制昂贵的后续网络攻击。我们首先将解释信息窃取器已成为勒索软件攻击生命周期起点的原因，然后提供具体步骤，通过实施新的勒索软件预防方法来中断网络犯罪分子：SpyCloud产后修复™。 感染后补救指南04 举报人如何帮助犯罪分子危害组织 没有来自的数据 Infostealers,后续 攻击成为 “ substantiallymorediúcult. Theinfostealeristhe 中央工具在现代罪犯的 阿森纳。 TREVORHILLIGOSS 前美国国防部特别特工和联邦调查局网络工作组成员；SpyCloud现任高级调查员 一个信息窃取器是恶意软件工具包中的一种组件，可以轻松购买并使网络犯罪分子能够窃取浏览器和FTP客户端的登录凭据及主机名、浏览器cookie、自动填充数据、信用卡信息、加密钱包详情、特定扩展名的文件、聊天历史 、已安装程序和运行进程的列表、机器的全局唯一标识符（GUID）等更多信息。 一旦网络犯罪分子获得了这些信息，他们就可以选择如何操作这些信息： 在DarknetMarketplaces上出售日志 恶意软件窃取的数据极为宝贵，因为它非常准确。其中，恶意软件日志包含明文凭据以及绕过多重身份认证（MFA）的方法。 出售此信息的罪犯包括被称为初始访问代理(IAB)，用来描述那些打包并销售能够确保生效的网络访问权限的个人或群体。他们的成果不言自明；例如 ，GenesisMarket的表现就是证明。据称被罪犯使用在2021年6月，他们 通过获取被破解的登录和cookie数据，突破了ElectronicArts（EA）。犯罪分子利用这些数据冒充EA员工，通过Slack登录欺骗IT支持，采用社会工程学手段。IABs（非法访问提供者）也operatesoutsideof公共论坛和市场，在Telegram、Jabber、Signal和Discord的频道或直接消息中直接向其他犯罪分子出售访问权限。 感染后补救指南05 自己使用信息 恶意软件窃取的数据授予访问受害者的工作账户和个人账户的权限，目的是实施欺诈行为并进行网络攻击，包括勒索软件。 当恶意软件受害者可识别为员工时，犯罪分子可能会将目标转向渗透组织——利用受害者的数据使其与员工难以区分。这些数据使绕过MFA变得容易，并有助于访问企业账户、文件和系统。 使用被盗凭据帐户接管：凭借从信息窃取者那里窃取的凭证，犯罪分子可以接管未受二次验证保护的账户，例如身份验证应用。使用被盗的Cookies进行会话劫持：拥有cookie，犯罪分子可以验证自己为合法用户，绕过MFA访问活跃的网络会话。202 2年，SpyCloud从暗网重新捕获了数十亿个cookie——这凸显了可供犯罪分子使用的数据规模——并开始将其提供给客户。 自动饲料以启用受损会话的快速失效。 犯罪分子increasingly部署恶意软件，可能允许其持续访问设备或通过受信任网络建立隧道。当与信息窃取者收集的设备指纹结合时，攻击者也可能能够自行模拟该设备，特别是在没有持续访问权限的情况下。他们还可以与非持久的信息窃取者一起加载更持久的恶意软件，以建立后门程序（重获访问能力）。 无需赘言，恶意软件攻击使网络犯罪分子能够轻易绕过网络防御措施来加密和/或窃取数据，从而导致严重的财务和声誉损害。平均而言，勒索软件攻击使企业遭受的成本为北面100万美元在从运营中断、数据丢失和服务中断中恢复的过程中。但因勒索软件攻击导致的数据泄露除外。IBM报告的平均成本为454万美元-不包括赎金。 根据Gartner的说法®报告指出，“勒索软件攻击后的恢复成本以及随之而来的停机时间所导致的损失，加上声誉损害的成本，可能高达勒索金额的十倍。”1 [1Gartner，《如何准备应对勒索软件攻击》，PaulFurtado，2022年6月16日。GARTNER是Gartner,Inc.和/或其附属公司在美利坚合众国及国际上注册的商标和服务标志，在此使用时已获得许可。所有权利保留] 感染后补救指南06 恶意软件日志里有什么？ 信息窃取恶意软件日志为网络犯罪分子提供了被盗数据的宝库，这些数据是从受感染设备中窃取的。实际上，恶意软件日志是由从受害者设备上窃取的信息创建的文件夹。最常见的数据包括设备信息——允许攻击者“指纹识别”受害者的设备；访问的网址；登录账户时使用的凭证；表单自动填充数据；会话cookie；加密货币信息，包括私钥；以及其他特定于窃取者的数据。一些较新的信息窃取者，如2022年10月首次被观察到的RhadamanthysStealer，甚至具有从受感染设备复制文件的能力。 感染机器信息 这是一组关于受害设备的稳健数据，包括操作系统、处理能力、正在运行的过程以及安装的软件。这些信息有助于网络犯罪分子确定哪些系统对额外的利用攻击更为脆弱 ，并使攻击者能够为未来的模拟制作指纹。 凭证 现代信息窃取工具配备了能够读取浏览器用于存储凭证的数据库的模块。这为网络犯罪分子提供了丰富的数据资源，可用于出售或利用这些数据访问网络并横向移动，以及/或窃取敏感的企业数据。 COOKIES 会话cookies在一定时间内验证用户在一个特定网站上的身份。通过使用带有浏览器插件的反检测浏览器，犯罪分子可以轻松地导入被盗的cookies以劫持用户的会话，绕过MFA（多因素认证），无需凭据即可接管账户——本质上成为该员工在环境中的一个克隆。 ! SpyCloud在2022年重新捕获的恶意软件日志分析表明，每位员工感染时平均暴露了26个独特的企业应用程序。 感染后补救指南07 STEP1恶意软件感染设备 恶意软件被错误地下载到用于访问公司资源的设备上 。 JON STEP2数据屏蔽 该恶意软件窃取乔恩的密码、cookies、设备信息、浏览器指纹以及其他可用于冒充他身份的数据。 STEP3暗网上的数据 乔恩的被盗数据是在暗网中购买或交易的，最初的访问经纪人或勒索软件运营商在那里找到它。 恶意软件感染如何导致随机存取 STEP4业务成为目标 初始接入经纪人发现Jon的数据包括个人和企业资产。他们将这些数据提供给勒索软件运营商，针对Jon的雇主进行攻击。 STEP5犯罪分子入侵公司 勒索软件运营商利用Jon的泄露认证数据登录企业资源，绕过MFA，并横向移动以增加访问权限同时规避检测。 STEP6随机部署 最终，恶意行为者利用其不正当访问权限部署勒索软件 ，并要求支付赎金以获取对企业文件的访问权。 当今恶意软件感染反应中的常见盲点 SpyCloud最新的勒索软件防御报告发现与去年相比，在所有受访者中对现有勒索软件缓解技术满意的比例普遍下降——这一不断扩大的列表包括数据备份、钓鱼检测、终端保护、UEBA（用户和实体行为分析）、用户意识培训和威胁情报等。 威胁仍然层出不穷，尽管存在多层防御措施，差距依然存在。此外，恶意软件的演变速度非常快，大多数防病毒解决方案难以跟上能够绕过常规扫描的新变种。这不足为奇，因为随着勒索软件攻击者不断取得成功，大多数组织对他们的网络安全策略的信心有所减弱。 大多数反勒索软件框架未能充分解决适当应对恶意软件感染的问题。尽管您可能已经制定了非常详细的流程来识别和修复恶意软件感染的影响，但如果无法看到的问题就无法解决。大多数组织缺乏对未监控或个人设备上感染情况的洞察力。它们往往低估了未管理设备和超出现有监控工具可见范围的第三方应用程序所带来的风险暴露。 基于浏览器的同步功能 所有现代浏览器都包含同步功能，使用户能够在不同设备之间切换并保持书签、浏览历史和密码的可用性。虽然这对用户来说很方便，但也为网络犯罪分子提供了几乎无法发现的漏洞，以便窃取敏感的企业凭证。 即使工作设备已经妥善保护，如果员工在工作和个人设备上启用了浏览器信息同步功能，所有保存的工作凭证也将出现在可能不安全的家庭网络的个人设备上。一旦家庭机器感染了恶意软件，窃贼就能通过这个开放的漏洞访问保存的企业凭证，而企业从未在EDR、SIEM或防火墙日志中看到任何异常。 非托管设备 69%组织估计，其企业网络上的至少一半设备是未管理设备，数量上远超过网络上的已管理设备，比例约为3:1。过去几年中工作 习惯已经发生变化，远程工作如今如此普遍，以至于占据了工作时间的大部分，甚至可能达到全部。25%北美所有的专业工作。也很难想象员工not访问工作电子邮件，销售CRM或在个人设备上聊天。因此，很容易理解为什么在一项调查中，79%管理者报告他们对未管理的设备和物联网设备带来的风险极为关注，另一项研究发现，67%的组织由于使用它们而经历了安全事件 。 感染后补救指南09 管理不足的设备 令各地的安全团队沮丧的是，员工们往往会落后于设备的安全补丁更新，从而使这些设备归类为“未受管理设备”。多达40%在接受最近调查的工人中，有部分人认为更新工作设备不是他们的