受感染的用户响应指南
AI智能总结
感染后的补救措施: 受恶意软件感染的用户响应指南 ableof CONTENTST Overview03 什么是受感染的用户?03 受感染的员工04 这对你的企业意味着什么05 补救建议06 示例电子邮件:受感染的员工08 受感染的消费者 09 这对你的企业意味着什么09 补救建议09 示例电子邮件:受感染的消费者10 恶意软件感染的影响是什么?破坏罪犯获利的能力 11 11 SpyCloud的差异12 概述 许多被信息窃取木马感染的用户不知情地将自己的账户密码和完整的浏览器详细信息记录并被盗取。这些“僵尸网络”窃取的信息被网络犯罪分子收集、在小范围内分享,并且有时还会发布到黑客论坛上以获得更多的经济利益,给相关个人和组织带来麻烦。SpyCloud能够大规模地重新捕获这些僵尸网络日志,解析出受感染受害者的用户名、登录网址、密码和网络会话cookie,以帮助企业和其消费者防范账户接管、勒索软件和在线欺诈。 企业可以通过迅速采取行动通知受影响的用户并帮助他们彻底解决风险来减轻与恶意软件感染相关的一系列风险。在本指南中,我们将探讨如果与员工或消费者相关的信息出现在僵尸网络日志中意味着什么,并介绍您可以采取的措施以帮助确保他们的安全。 什么是感染用户? 受感染的用户是指其设备已被恶意软件感染的用户。包含键盘记录功能的恶意软件,或“信息窃取者”,会窃取诸如浏览器历史记录、自动填充数据、网页会话cookie、屏幕截图、系统信息、加密钱包和登录凭证等信息。网络犯罪分子利用这些数据进行各种恶意活动,并且在暗网上存在一个强大的此类信息市场。对于个人受害者而言,后果可能是灾难性的。如果企业的消费者或员工受到影响,企业可能会遭受重大损失。 感染用户指南03 恶意软件生态系统 威胁行为者向用户分发恶意软件。这可能采取网络钓鱼电子邮件或广告的形式这诱使用户下载恶意file。 12 用户受感染的系统发送数据到威胁参与者的命令和控制服务器(C2). USER 威胁行为者在管理员面板中看到了攻击结果,这些结果可能包括被盗凭证、加密钱包详情、系统信息 3 、浏览器数据以及文件。 感染雇员 威胁演员货币化通过排水窃取数据帐户和销售 4 被盗信息到其他罪犯。 如果SpyCloud在我们的数据中(包括您的第三方工作场所应用程序域,如VPN、CRM、聊天服务等)识别到与您域名相关的受感染员工或合同工的凭证,则意味着我们已经重新捕获了僵尸网络日志,显示该员工使用受感染设备通过其工作电子邮件地址和密码访问了企业应用程序,大多数情况下是通过未管理或管理不足的设备进行的。 例如,SpyCloud可能会发现bob@yourcompanydomain.com的账户在登录okta.com、dropbox.com、cloudflare.com及其他CORPORATE应用程序时被感染,并且其凭证和cookies被捕获。 感染用户指南04 感染用户指南 05 这对你的企业意味着什么 恶意软件带有键盘记录功能可以记录员工的每一动作,窃取浏览器历史、文件、系统信息、设备和网络会话cookie以及用于企业和第三方资源的登录数据。虽然对公司自有系统的感染风险显而易见,但受感染的个人设备同样可能危及公司资源——而且通常不在公司的安全监控范围内。个人登录信息可能会揭示密码重复使用的模式;此外,忙碌的员工往往在个人设备和工作设备使用之间模糊了界限,这意味着家中受感染的系统有可能暴露公司登录凭据和数据,特别是如果他们同时同步了工作和个人设备上的浏览器信息。进一步而言,管理不善的设备,如合同工用于访问公司账户或未及时更新安全补丁的员工设备,也可能构成风险,因为这些设备超出了监控工具的可见范围。 无论员工受感染的系统是个人设备还是企业设备,犯罪分子可能利用他们窃取的凭证和个人信息进行各种恶意目的: 利用被盗凭证访问企业内部资源和第三方资源,如企业网络、电子邮件和文件共享平台、人力资源门户 、云服务、开发人员资源等。窃取员工或客户数据以在犯罪地下市场出售;窃取知识产权或敏感财务信息;利用企业云服务托管恶意基础设施或进行加密货币挖矿;使用商业电子邮件欺骗(BEC)骗局针对同事、客户和合作伙伴;授权欺诈性的电汇转账或更改客户付款和工资单交易的ACH详细信息;提升权限以获得额外访问并逃避检测;利用被盗个人信息进行敲诈、跟踪或社会工程攻击;部署勒索软件加密文件并要求支付解锁数据的关键。 IP 补救建议 首先,检查IP地址和MachineID(如果提供),以确定受感染系统是否为企业自有资产。如果是,则创建工单以检查或重新成像该系统。此外,查看SIEM日志以识别来自该受感染机器或IP地址的任何可疑行为。 感染的员工或合同工记录如果属于公司资产或能够访问公司网络的系统,则应被视为最关键的风险。然而,感染个人系统的风险也不能忽视并应进行调查。例如,恶意软件可能已经捕获了员工访问内部资源的登录凭证。 无论感染是个人账户还是企业账户,我们建议在修复设备(包括第三方应用程序和工具)后要求员工重置所有企业密码,并启用多因素认证(MFA)。 这些额外的步骤来修复恶意软件暴露的每个应用程序,我们称之为感染后修复(PIR)。 后感染修复是从以机器为中心的SOC流程转变为以身份为中心的流程的一种范式转变。这是因为仅仅通过擦除受感染设备并关闭服务票证,无法从根本上降低长期的勒索软件风险。只有通过修复所有被compromized的应用程序,才能真正减少关键网络攻击的风险。这需要对目标URL、被盗凭据和从受感染机器中窃取的会话cookie有全面的了解,这些信息可以使得勒索软件操作者能够“轻松进入”您的网络。 这种全面应对恶意软件感染的方法得益于SpyCloud。每当设备访问您的工作力应用时出现恶意软件感染,我们会通知安全团队。这些警报提供了进入您组织的确凿证据:包括详细设备信息以及与您业务相关应用的泄露认证详情——例如密码管理器、安全工具、营销和客户数据库、学习和协作应用,以及人力资源和薪资系统等。了解这些安全团队警报的更多信息,请参阅SpyCloud.com. 感染用户指南06 感染后补救步骤 1隔离设备 2确定细节 3创建图像 4移除恶意软件 5重置凭证 6无效会议 7审查应用程序完整性 采取这些步骤可以使您的安全团队能够干扰试图危害您企业的网络犯罪分子,显著缩短您对勒索软件和其他关键威胁的暴露窗口,并有效阻止恶意软件暴露演变为全面的安全事件。 感染用户指南07 样本电子邮件:联系感染员工 收件人:<员工姓名> 主题:需要采取的行动:企业设备上的紧急安全问题 <员工名字>, 这是来自<公司名称>安全运营团队的<您的姓名和头衔>。 其中,我们的网络安全监控工具检测到您的公司应用登录凭证在公司发放的设备上遭受了恶意软件感染,导致凭证被篡改。潜在地,其他个人信息也可能已被暴露。 我正在安排一次紧急会议,以便我们共同讨论下一步行动,从而保护您和公司的信息。请确保能够参加此次会议,并立即采取行动断开设备与网络的连接。 我们将致电以核实此电子邮件是否来自\<公司名称\>安全运营团队,并确保这不是一份钓鱼邮件。 谢谢, <签名> 看看如何提醒一个员工谁的个人设备已经感染了我们感染后补救指南 感染用户指南08 感染消费者 这些用户使用的是面向消费者的网站,在通过botnet日志可以发现他们在登录页面输入用户名和密码时被感染(例如,jim@hotmail.com在登录signin.yourcompanydomain.com时被感染)。强制用户重置密码并启用多因素认证(MFA)或其他身份验证措施是第一步。然而,只要用户的系统仍然受到感染,信息窃取者可能会继续收集他们更改的新密码。更糟糕的是,信息窃取者很可能还收集了其他身份验证数据(设备和网络会话cookie)和个人信息(包括PII和财务详情),这些信息攻击者可以用于恶意目的或出售给其他犯罪分子。 这对你的企业意味着什么 感染了病毒的消费者面临极高的账户接管、身份盗窃和在线欺诈风险。以下是网络犯罪分子利用窃取信息的一些常见方式: 从加密钱包、投资组合、支付应用和其他账户转移资金;使用信用卡信息或账户内存储的礼品卡下达欺诈订单;窃取账户相关的积分奖励点数;更改收货地址以方便包裹盗窃和直运;出售登录详细信息、会话cookie和浏览器指纹给其他犯罪分子。 补救建议 不同SpyCloud客户的风险排名各不相同,他们服务的消费者类型也有所不同。一些SpyCloud客户要求最终用户重置密码,并发送邮件解释原因。其他客户则选择以不同的方式监控该客户的不同在线会话,并对某些交易进行更严格的审查。 我们建议的路径是通过电子邮件通知客户,并包括修复建议,例如安装反病毒程序并运行扫描。建议特定的反病毒程序可以降低用户无意中下载伪装成反病毒软件的恶意软件的风险。客户应在系统清理完毕之前不要执行密码更改操作。 采取诸如锁定客户账户等额外措施可能有助于防止恶意交易,但在某些类型的账户情况下,这些措施可能会被用户视为敌对或过度的行为。 感染用户指南09 样本电子邮件:联系感染的消费者 收件人:<备用客户> 主题:重置备用密码 Hi, 我们的网络安全监控工具最近检测到一个恶意软件感染发生在访问您的Sparefactor账户的设备上。因此 ,您的Sparefactor账户的登录信息可能已被泄露。 我们强烈建议您重置密码以保护您的Sparefactor账户。但在重置密码之前,我们建议您先安装反病毒软件以清除恶意软件,删除浏览器和cookie历史记录,运行扫描以清理您的机器,然后再在Sparefactor.com上重置密码。 您可以通过三个简单的步骤重置密码: 1.转到Sparefactor.com 2.您通常会在哪里点击登录,点击“忘记密码?” 3.创建一个新的,强密码,是唯一的您的备用帐户 我们还建议您启用双因素认证(即在额外的身份验证步骤中发送一个代码),以帮助确保您的在线账户安全 。您可以在Sparefactor账户的账户设置中启用此功能。 可能存在恶意软件已compromising您在其他网站上的登录凭据的风险。您可以按照上述步骤对您使用的其他在线网站和服务进行检查,并为每个服务创建一个强大且独特的密码。 我们非常重视您的安全和隐私,并将在未来如发现任何异常情况时立即通知您。 谢谢, <签名> 感染用户指南10 “ 借助SpyCloud的僵尸网络数据,我们保护了成千上万代表数千万美元资金的账户。具体而言,我们在SpyCloud的僵尸网络数据中发现了这些用户,并成功干预,强制更改了密码。 在攻击者能够执行恶意操作之前进行重置和帐户恢复。” 全球FINTECH公司 疟疾感染的影响是什么? 暗网市场上盗取的凭证和其他数据需求旺盛,受感染用户仅仅是其中一个来源。去年,SpyCloud发现了超过2000万个被恶意软件感染的机器,并回收了数十亿个由信息窃取者外泄的数据资产。我们继续每周从被恶意软件感染的系统中收集数百万条记录。 犯罪分子利用盗取的凭证和网络会话cookie以便轻松访问企业系统和消费者账户。频繁重用密码和弱密码使得攻击者能够轻易从一个被破解的账户切换到另一个账户,推动了暗网中被盗凭证和其他数据的市场需求。他们利用恶意软件窃取的网络会话和设备会话cookie进行会话劫持,从而完全绕过凭证和多因素认证(MFA)的需要。会话劫持是欺诈越来越普遍的先兆,对企业来说,勒索软件攻击甚至更可怕。 扰乱罪犯的获利能力 SpyCloud的使命是显著颠覆网络犯罪经济,并最终使互联网成为一个更加安全的环境,惠及个人和企业。 我们通过负责任地向受害组织披露我们认为他们尚未意识到的新数据泄露和受恶意软件感染的用户数据来实现这一点。我们还支持主动调查,例如追踪并打击恶意软件活动。 基于这项工作,我们拥有能够防止犯罪分
