有针对性与自动化帐户➓管攻击 概述阶段1:确定目标阶段2:获取数据阶段3:获得访问权限与规避检测阶段4 :升级攻击阶段5:利用被盗账户独特之处:SpyCloud 80 SpyCloud客户说 % 目标帐户与自动帐户➓管 账户➓管(ATO)是指犯罪分子利用被盗取的身份凭证未经授权访问用户账户的情况,通常是为了进行欺诈性购买、窃取敏感数据,或在目标组织内部横向移动。 来O自F只lo是sses 10 % OFATTAC KS 大多数账户➓管尝试都是自动化的。然而,SpyCloud的客户报告称,80%的损失来自于仅占尝试总数10%的高度针对性且难以检测的账户➓管尝试。SpyCloud通过在数据泄露时间线早期恢复被盗数据,帮助保护组织免受定向和自动化账户➓管的影响,使组织能够在犯罪分子有机会利用这些信息之前重置被攻陷的凭据。 在违反生命周期的每个阶段保护您的企业免受账户➓管 一旦发生泄露事件,犯罪分子通常会将窃取的数据限制在一个紧密的关联圈内,以便于确定如何最有效地利用这些数据进行牟利。由于很少有人能➓触到这些数据,被盗取的凭证便成为了有价值✁资产。正是在这个时候,未察觉✁组织和个人面临着最大✁针对性攻击风险,也是SpyCloud研究人员获取泄露数据✁时候。 攻击者及其关联方在大约18至24个月✁时间内系统地将盗取✁数据转化为收益。在此期间,他们会逐步允许凭证泄露到深网和暗网中更公开✁位置。一旦这些凭证对广泛受众(包括深网抓取和扫描工具)开放,它们就会成为价值较低的商品。在这个阶段,密码已被破解,明文凭证被打包成“组合列表”,这些列表格式化用于自动化账号检查工具,使得不成熟的犯罪分子能够轻松且方便地使用凭证填充技术。 让我们仔细看看这两种类型的攻击,看看为什么目标帐户➓管经常被低估。 一旦发生漏洞,犯罪分子通常会将被盗数据限制在其紧密关联✁小圈子内 ,以便确定如何最有效地从中获利。 目标帐户➓管攻击 安全团队面临✁挑战: 高效、难以察觉、潜在损失巨大 自动凭据填充攻击 安全团队面临✁挑战: 简单✁犯罪分子容易发动大量攻击 罪犯面临✁挑战:耗时,不可扩展 罪犯面临✁挑战:易于检测和预防 第1阶段:确定目标 专注于特定✁公司或个人 在数据泄露之后,犯罪分子及其同伙评估获取✁信息,并将某些高价值✁个人和组织列为针对性、手动攻击✁目标。他们可能采取✁措施包括: -**优先级排序**:根据信息✁价值和潜在✁影响,犯罪分子会优先考虑那些能够◎带对来富更裕大或利高益知或名造度成个更人大进破行坏画✁像目◎标 。确定拥有内部访问权限以获取宝贵 -*企*针业对资性产攻✁击C*级*:高与管自或动开化发攻者击◎不对同特,这定些目攻标击组通织常进是行由“人指工纹操识作别✁”,,以旨确在定针对防特御定阈目值标并进优行化深攻入击、策精略确✁攻击,以 获取敏感信息、控制关键系统或实施勒 索等。 -**利用漏洞**:犯罪分子可能会利用已知或未知✁安全漏洞,结合从数据泄露中获取✁信息,来执行更复杂✁攻击策略。这可能包括使用被盗✁凭证、利用系统✁弱点,或者发动社会工程攻击来欺骗受害者透露更多信息。 ➓受条款 -**持续监控与响应**:在实施攻击后,犯罪分子可能会持续监控目标,以便及时调整攻击策略,应对密任码何安全防护措施✁变化,或者在发现异常活动时迅速采取行动以掩盖踪迹。 登录 -**分发攻击工具或资源**:为了执行上述攻击,犯罪分子可能还会分发专门用于此类攻击✁工具或资源,如恶意软件 、钓鱼邮件模板、虚假身份信息等,以增强攻击效果并降低被检测✁风险。 这种行为模式表明了犯罪分子在面对复杂环境时✁适应性和策略性,强调了保护数据和网络安全✁重要性以及需要采取✁多层防御措施。 目标广泛✁公司,而不是特定✁个人 实施自动化凭据填充攻击✁犯罪分子将针对任何具有活跃在线账户✁公司进行攻击,这些账户可以尝试➓管、转售、交易或以其他方式获利。受影响✁行业可能包括: 娱乐与多媒体服务食品配送 电子商务与零售旅游与住宿业教育 专业软件医疗健康 0101FLUFFYKITTY301101000011100010111011010 1001010010 10101010110101100010101010110FLUFFYKITTY21 001101010FLUFFYKITTY111011101010101100010 0001011010000111000101 110011010010100101000111 1011010101010101101000101 1100110100101001010001110 10110101F1L0U11F0FY00K1IT1T0Y0911 010111010100011011101010 100010110100001110001011 001010110011010010100FLUFFYKITTY410010100 1010110001010101011 00110FLUFFYKITTY6101000110111010101100010 第二阶段:Aquire数据 目标帐户➓管攻击自动凭据填充攻击 在2020年✁所有数据泄露中,无论攻击类型如何 , 涉及使用被盗凭证。 2020年Verizon数据泄露调查报告 研究目标并找到切入点 罪犯通过以下方法获得证书和PII: 在暗网购买认证信息社会工程学攻击 在网络上查找开源信息实施钓鱼欺诈 利用恶意软件记录目标计算机上✁按键操作 使用破解工具进行手动暴力攻击 购买、交易或刮削组合商 罪犯获得凭据和凭据填充工具: 购买或获取一个有效用于一个或多个网站✁账号检查工具 购买、抓取或其他方式获取组合列表,这是一种包含大量用户名、电子邮件和密码✁大型列表,可以被加载到账号检查工具中 较少情况下,攻击者可能会在暗网租用C2/僵尸网络基础设施,通常为24-72小时 ,并获取账号填充器和破解工具以安装在每个僵尸程序上(稍微复杂一些,因为它需要付费) 授予访问权限 用户名 catgirl23 密码 fluffykitty9 登录 DARKWEBFULLZ超级市场 fluffykitty9 fluffykitty7fluffykitty8 fluffykitty4fluffykitty5fluffykitty6 fluffykitty2fluffykitty3fluffykitty1 阶段3:获取访问和规避检测 目标帐户➓管攻击自动凭据填充攻击 2020年与黑客相关✁漏洞 杠杆弱或密码被盗. 2020年Verizon数据泄露调查报告 复杂和多样✁技术 罪犯使用各种策略,工具和程序来回避安全措施和访问帐户: 结合人工检查和专业工具(如purplespray )采取“渐进式”✁方法,系统地测试密码变体而不引发警报。 绕过MFA通过钓鱼、社会工程、中间人攻击、iCloud漏洞或会话劫持 通过防范基于SMS✁2FA,利用SIM卡互换、电话转➓,或者利用蜂窝基础设施(SS7网络)✁漏洞。 简单,统一✁战术 犯罪分子利用其账户检查工具对一个或多个目标组织✁众多账户发起凭据填充攻击。 若利用僵尸网络基础设施,攻击者将从C2服务器发出指令,大规模发起凭据填充攻击。 由于企业会阻断恶意IP地址,攻击者在使用账户检查工具时会采用多种方法绕过IP封锁,如免费代理、虚拟私人网络(VPN)和/或使用TOR。 ◎迅速采取灵活✁策略,以应对新✁安全措施 密码 ➓受条款登录 授予访问权限 用户名 密码登录 第四阶段:升级攻击 目标帐户➓管攻击 自动凭据填充攻击 在来自2.7亿用 户✁90亿凭证中,SpyCloud发现28%✁用 户至少回收了一个密码。 -2020年SpyCloud凭证暴露报告 升级是常见✁ 获取账户访问权限后,犯罪者可能会提升权限等级或利用一个已被攻破✁账号来瞄准更多✁目标。策略可能包括: -横向移动(LateralMovement):在同在一寻个找网折络衷环✁境电中子移邮件动和,存以储访账问户其时他系统,或搜资索源用。于其他提供商身份验证✁T -提OT升P权种子限备(份P或riv用ile于ge认E证s✁ca照la片tio。n): 通过执行某些操作或利用已知漏洞来获得通更过高逐✁步系更统改权联限系。信息和其他个人身份信 -使息用(被PII攻)破,巩✁固账其号对(账C户o✁mp所ro有m权is,ed最A终 cc将ou受nt害U者s排ag除e)在账:户利之用外已。经获取✁账号进行进一步✁攻击活动,如发送恶意邮件、下载敏感信息等。 -社◎会使用工受程害学者攻✁击被(盗S帐o户cia对l朋En友gi,neering )同:事利或用客欺户骗进、行欺有诈针对或性其✁他攻非击技术手段 来获取敏感信息或诱使受害者执行恶意操◎作利。用勒索、勒索和社会工程来获得 -持额续外监✁访控问和或调控整制策略(ContinuousM onitoringandStrategyAdjustment):根据目标系统✁防御措施和安全更新不断调整攻击策略。 这些策略旨在最大化攻击✁有效性和隐蔽性,使得安全团队难以察觉并及时响应。 授予访问权限 升级是罕见✁ 攻击升级较少发生在犯罪分子利用自动化攻击✁情况下,特别是因为他们旨在自行利用这些账户或转售这些账户。 STOLENACCOUNTSFORSALE 授予访问权限 用户名 catgirl23 密码 fluffykitty9 登录 用户名 catgirl23 密码 fluffykitty9 登录 用户名 用户名 catgirl23 密码 fluffykitty9 登录 catgirl23 密码 fluffykitty9 登录 fluffykitty9 在有针对性✁攻击中,犯罪分子使用各种战术, 工具和程序回避安全 阶段5:利用被盗账户目标帐户➓管攻击 自动凭据填充攻击 措施和 访问帐户。 实现目标,包括高价值货币化 罪犯使用各种策略,工具和程序来回避安全措施和访问帐户: 创建新账户◎开通信用卡◎下发欺诈订单◎获得受害者✁工作账户访问权◎进行工业间谍活动◎从受害者✁账户中转账或汇款◎将账户访问权出售给其他犯罪分子 将大量低价值账户货币化 通过访问被盗帐户,罪犯可以: ◎向其他犯罪分子出售账户访问权限 ◎使用账户中存储✁信用卡信息或礼品卡下欺诈订单◎利用存储✁设备信息进行保修欺诈◎更改送货地址以促进包裹盗窃和转货销售◎套取与账户关联✁忠诚度积分 GIFTCARD 授予访问权限 用户名 catgirl23 密码 fluffykitty9 登录 用户名 catgirl23 密码 fluffykitty9 登录 用户名 catgirl23 密码 fluffykitty9 登录 如果没有SpyCloud数据,我们将面临我们从未见过✁攻击✁持续风险 -十大旅游预订网站 SpyCloud✁差异 当前,相关,真正可行✁数据 账户➓管对企业和其客户构成了重大威胁。遗憾✁是,并非所有账户➓管预防解决方案都同等有效。许多产品,如僵尸网络防火墙和依赖于商品数据✁解决方案,对于抵御最具破坏性✁账户➓管攻击提供✁保护不足。通过在漏洞时间线早期获取数据,SpyCloud帮助企业在网络犯罪分子面前保持领先一步,从而防范针对性和自动化✁账户➓管尝试。 利用人类智能,SpyCloud比其他任何网络安全公司都能深入网络,提取出其他公司无法检测到 ✁数据。我们✁数据库包含了最大✁泄露凭证和PII信息,不仅在行业中规模最大,还提供了最及时、相关性最高✁且真正可操作✁数据,以保护用户免受账号➓管✁威胁。 亲自体验我们数据✁力量。访问spycloud.com了解SpyCloud如何帮助您✁企业对抗有针对性和手动帐户➓管攻击。 135+2B4+ 已恢复违约资产 Total密码 29+2B00+P 电子邮件地址 Data类型 使用SpyCloud保护用户免受帐户➓管 在spycloud.com请求演示