窃取凭据的恶意软件 ： 政府安全团队的修复指南

Overview 许多感染了恶意软件的用户不知不觉中将自己的账户密码和完整的浏览器信息记录并被盗取，这些信息被网络犯罪分子收集后，在小圈子内分享，并且经常发布到黑客论坛上。当SpyCloud能够恢复一些这些“僵尸网络”日志时，我们会解析出受感染受害者的用户名、URL和密码，以便帮助公民和组织保护自己。 联邦机构可以通过迅速采取行动通知受影响用户并帮助他们进行修复来减轻与僵尸网络感染相关的风险。在本指南中 ，我们将探讨如果与员工或消费者相关的信息出现在僵尸网络日志中意味着什么，以及您可以采取哪些措施来帮助保护他们的安全。 什么是受感染的用户？ 受感染的用户是指其设备已被恶意软件感染的人。包含键盘记录功能的恶意软件，即“窃取者”，可以收集诸如浏览器历史记录、自动填充数据、Cookies、屏幕截图、系统信息、加密钱包和登录凭证等信息。攻击者利用这些数据进行各种恶意活动，并且这种类型的信息在犯罪地下经济中有一个强大的市场。对于个人受害者而言，后果可能是灾难性的。对于机构而言，缓解成本、失去公民信任以及额外的审计可能会成为痛苦的分心因素。 恶意软件生态系统 1.威胁行为者分发恶意软件给用户。这可能表现为一封钓鱼邮件或广告，诱使用户下载恶意文件。 威胁行为者在管理员面板中看到了成果，这可能包括被盗凭据、加密钱包、系统信息、浏览器数据和文件。 4.犯罪威胁行为者通过提现账户和向其他犯罪分子出售被盗信息来牟利。国家级对手利用这些数据获得对敏感系统的可信访问权限。 STOLENACCOUNTSFORSALE GIFTCARD 突发事件响应：受感染的用户响应指南 2.用户受感染的系统将数据发送到威胁行为者的C&C。 spycloud.com01 如果SpyCloud在我们的数据中识别到与您域名相关的受感染员工的凭据，这意味着我们已经恢复了僵尸网络日志，显示该员工使用受感染的机器登录了包含政府电子邮件地址的域或门户，并提供了相应的密码。例如，SpyCloud可能会识别出bob@youragencydomain.gov已被感染，其凭据在登录okta.com、dropbox.com、cloudflare.com及其他商用现货（COTS）或政府现货（GOTS）应用程序时被捕获 。 这对你的机构意味着什么 带有键盘记录功能的恶意软件可以记录员工的每一举一动，捕获浏览器历史、文件、系统信息以及用于政府和第三方资源的登录数据。虽然在政府所有系统的感染风险显而易见，但受感染的个人设备也可能危及政府资源——而且通常不会受到内部安全监控。个人登录行为可能揭示密码重复使用的模式；此外，忙碌的员工往往在个人设备和工作相关设备之间划界模糊，这意味着家中的受感染系统有可能暴露机构或部门的登录凭据和数据。 无论员工感染的系统是个人所有还是政府拥有，对手可能利用您的员工被盗的凭证和个人信息进行各种恶意目的： 利用盗取的凭据访问政府和第三方资源，如您机构或部门的网络、电子邮件和文件共享平台、人力资源门户、云服务以及开发人员资源；窃取员工或公民数据以在犯罪地下市场出售；使用纳税人资助的云服务托管恶意基础设施或进行加密货币挖矿；访问受控数据或敏感信息；通过商务电子邮件欺骗（BEC）骗局针对同事、服务用户和供应链合作伙伴；提升权限以获得额外访问并逃避检测；利用被盗个人信息进行敲诈 、跟踪或社会工程。 补救建议 首先，检查IP地址和MachineID（如果提供），以确定受感染系统是否为政府所有资产。如果是，则创建工单以检查或重新成像该系统。此外，查看SIEM日志以识别来自该受感染机器或IP地址的任何可疑行为。 受感染的员工记录如果属于政府所有资产或具有访问机构或部门网络权限的系统，则应被视为最关键的风险。然而，受感染的个人系统也可能对您的组织构成风险并应进行调查。例如，僵尸网络可能已经捕获了员工访问内部资源的登录凭证。 无论感染是个人原因还是就业相关，在修复设备并处理第三方应用程序和工具后，我们建议要求员工重置所有政府服务账户的密码。 spycloud.com02 spycloud.com03 AgencyEmployeeto: 操作要求：计算机上的紧急安全问题主题： <员工名字>, 在常规安全检查中，我们发现您的登录信息因个人或公司机器感染恶意软件而遭到破坏。您的数据被我们的网络安全合作伙伴之一捕获的恶意软件流量所包含，这表明您需要更新登录详细信息以保护您的机构账户。但在采取其他措施之前，请在接下来的24小时内使用<获批准的企业防病毒程序>扫描所有可能使用机构电子邮件登录的计算机/笔记本电脑，并清理您的设备。 完成此操作后，请联系安全团队联系人。他们将引导您完成确保Agency账户的安全步骤，并启动密码重置过程，您可以在该过程中设置一个仅限于此账户的新密码。 可能已经compromising了您在其他网站上的登录凭据。请重新设置用于机关工作的所有在线站点或服务的密码，并为每个服务创建一个强大且独特的密码。我们建议您也为个人账户进行同样的操作。 谢谢, 机构安全团队 这些用户使用的是面向公民的网站，在使用其用户名和密码登录时（例如，jim@hotmail.com在登录signin.youragencyservice.gov时），他们的系统已被僵尸网络感染。强制用户重置密码并启用多因素认证（MFA ）或其他安全挑战是第一步。然而，只要用户的系统仍然受到感染，恶意软件将会在他们更改密码的第一时间收集新的密码。更糟糕的是，僵尸网络很可能已经收集了其他个人资料信息，这些信息可能被攻击者用于恶意目的。 这对你的机构意味着什么 感染服务用户面临极高的账户接管、身份盗窃和在线欺诈风险。以下是网络犯罪分子和高级持续威胁（APT）利用其被盗信息的一些方式： 从加密钱包、投资组合、支付应用和其他账户转移资金使用个人可识别信息（PII）进行身份盗窃或欺诈重定向本应发放给纳税人的政府福利调查或用窃取的数据进行敲诈出售登录详情和浏览器指纹给其他犯罪分子使用敏感信息进行情报targeting 补救建议 风险排名因每位SpyCloud客户及其服务的用户类型而异。一些SpyCloud客户要求最终用户重置密码并发送电子邮件解释原因。其他客户则选择以不同的方式监控该用户的在线会话，并对某些操作进行更严格的审查。 我们建议的路径是通过电子邮件通知用户，并包括如安装防病毒软件和运行扫描等修复建议。建议特定的防病毒软件可以降低用户无意中下载伪装成防病毒软件的恶意软件的风险。公民应在系统清理完毕之前不要执行密码更改程序。 采取诸如锁定用户账户等额外措施可能有助于防止恶意交易，但在某些类型的账户情况下，这些措施可能会被用户视为敌对或过度的行为。 通过使用SpyCloud的僵尸网络数据，我们保护了成千上万代表数千万美元资金的账户。具体而言，我们在SpyCloud的僵尸网络数据中发现了这些用户，并成功干预，强制执行密码重置和账户恢复，从而在攻击者能够利用这些凭证进行恶意操作之前采取行动。 -全球金融科技公司 spycloud.com04 代理服务用户: 重置代理密码主题: Hi, 在常规安全检查中，我们发现您的登录可能因机器感染恶意软件而遭到篡改。我们无法访问您的机器以确认这一点；然而，您的数据被我们的网络安全合作伙伴在恶意软件流量中收集到，这表明需要更新您的登录详细信息以保护您的机构账户。但在采取这些措施之前，我们建议您从可信赖的提供商（例如）安装防病毒保护，运行扫描以清理您的机器，然后再在AgencySite.gov上重置密码。 运行防病毒扫描后，通过3个简单步骤重置密码： 1.转到AgencySite.gov 2.您通常会在哪里点击登录，点击“忘记密码？” 3.创建一个新的强密码，该密码对于您的代理帐户是唯一的 我们还建议您启用双因素认证（即在额外的身份验证步骤中发送一个代码），以帮助确保您的在线账户安全。您可以在“账户设置”中为您的机构账户启用此项功能。 可能已经compromising了您在其他网站上的登录凭据。我们强烈建议您对所有在线使用的其他网站和服务重复上述步骤，并为每个账户创建一个强大且唯一的密码。 我们非常重视您的安全和隐私，并将在未来如发现任何异常情况时立即通知您。 谢谢, 机构服务安全小组 我们假设，如果您的凭证出现在botnet数据中的某个地方，那么用于证明您身份的电子邮件 、电话和其他机制也会被篡改。通过教育客户关于网络安全的知识，团队希望帮助用户从系统中清除恶意软件，并防止他们将来落入类似的陷阱。 -全球金融科技公司 spycloud.com05 刑事经济 黑市中对被盗凭证和其他数据的需求依然强劲，受感染的用户只是其中的一个来源。仅去年一年，SpyCloud就从网络犯罪地下社区回收了超过90亿个凭证，包括僵尸网络日志和数据泄露记录，并且我们继续每周从受恶意软件感染的系统中收集数百万条记录。 犯罪分子利用盗取的凭证轻松获取对企业及政府系统和用户账户的访问权限。普遍存在的密码重复使用使得攻击者能够轻易从一个被入侵的账户切换到另一个账户，从而推动了被盗凭证及其他数据在犯罪地下市场的交易兴盛。 国家威胁行为体也意识到了通过被盗凭证访问系统是多么容易。他们开始利用相同的数据渗透情报目标，因为这使他们能够避免研究和指纹识别，从而模糊自己的身份和使命。 SpyCloud的差异：当前、相关、真正可行的违约数据 使用业内最全面且最新的受损凭证和PII库，来自犯罪地下世界并通过人力情报（HUMINT）回收，以防止网络攻击。SpyCloud的巨大数据库包含可操作的开源intelligence（OSINT），其中包括犯罪分子通过数据泄露和僵尸网络感染窃取的数据。 SpyCloud解决方案以数据即服务（DaaS）的形式提供，使机构能够迅速采取行动应对新曝光的数据，而无需增加人员。 135+1+ 29+24+ BillionBillionBillionBillion 恢复违反 Assets 新月刊 Assets 电子邮件地址 密码总数90%断裂 100+18+160+ Billion月百万 中文、俄文 记录 暴露前 在暗网上 僵尸网络记录 查看SpyCloud数据的全部功能，以保护您的机构。请求对我们的僵 尸网络数据进行演示和自定义测试：gov@spycloud.com06