信息竊取型惡意軟件是企業信息安全團隊面臨的最重大且常被低估的風險因素之一。這類軟件侵入計算機后，會盜取瀏覽器中儲存的所有登錄憑證、活躍會話的cookies及其他數據，接著將竊取到的信息發送到遠程指揮控制（C2）服務器，并且在某些情況下，惡意軟件還會為了消除痕跡而自動銷毀。

那么，惡意行為者如何運用憑證進行網絡入侵，突破IT基礎架構的安全防線，引發數據泄露事件以及傳播勒索軟件呢？這就是本文主要探討的問題。

需要注意的是，信息竊取軟件并非產生憑證威脅的唯一形式，通過傳統途徑泄露的憑證同樣會給企業帶來持續而嚴重的安全風險。

在大多數情況下，許多用戶十多個應用使用的密碼都是同一個，這就為威脅者提供了一個絕佳機會，他們可以通過暴力破解這些賬戶，侵入SaaS服務和本地部署的應用程序。

泄露憑證的分類

為了深入理解憑證泄露的問題，將這些憑證按照泄露的途徑和它們對企業可能造成的風險進行分類是非常有幫助的。

杰森·哈迪克斯（Jason Haddix）首創了這種分類方法，旨在幫助安全專家以通俗易懂的方式向管理人員和企業高層闡釋憑證泄露帶來的風險。

一級泄露憑證

通常是指因第三方應用或服務遭到安全侵犯，導致該服務所有用戶的密碼被泄漏，并在暗網上以數據包的形式被公開傳播，這是大多數人在談論“泄露憑證”時想到的情況。

舉個例子，假設Scatterholt公司管理著數十萬消費者的登錄憑證，攻擊者成功侵入Scatterholt后，獲取了其身份和訪問管理系統的信息，并將竊取的憑證泄露到暗網上。

對Scatterholt公司來說，它可以強制要求所有用戶重置密碼，但問題在于這些用戶很可能在多個服務平臺使用的是同樣的密碼。

通過這次泄露，威脅行為者可以嘗試使用暴力破解或滲透測試工具，對成千上萬在其他應用上使用相同密碼的用戶的憑證進行破解。

防御一級泄露憑證

為了降低潛在風險，企業可以采用多種經過驗證的防御措施保駕護航。首先，也是最重要的一點是：監控泄露憑證數據庫，追蹤是否有公司員工的電子郵件賬戶。這一措施極為關鍵，因為威脅行為者往往會有意尋找和公司電子郵件地址相關的密碼，方便他們進行數據泄露行動。

其次，要求員工定期按照時間表更改密碼，這樣即使特定密碼被破解，其他與公司相關的憑證也已經更換，從而降低安全風險。

最后，建議使用密碼管理器并制定相應規則，要求員工為不同應用程序生成隨機密碼并使用管理器存儲，這樣可以降低員工在更新密碼時僅做輕微調整的風險。

組合列表的特殊情況

組合列表通常由成對的憑證組成，這些憑證對要么按服務分類，要么按地理位置分類，威脅行為者嘗試使用暴力破解工具獲取各種服務的訪問權限。

這些憑證往往來源于之前已知的安全漏洞、竊取記錄，也有可能是完全捏造的，它們的原始出處并不明確。但通過組合列表能夠獲得大量憑證，再加上部分用戶頻繁重用密碼的行為，給威脅行為者帶來了一個不容忽視的的攻擊途徑。

二級泄露憑證

二級泄露憑證會對公司構成特殊的風險。這些憑證是通過信息竊取型惡意軟件直接從用戶那里收集的，該惡意軟件會竊取瀏覽器中保存的所有密碼。

二級泄露憑證顯著增加了公司和用戶的風險，原因如下：

• 一個信息竊取器日志會包含用戶瀏覽器中保存的所有憑證信息，這為威脅行為者利用受害者的信息來對受害者、IT支持部門乃至整個公司實施攻擊提供了機會。
• 這些日志記錄了用戶名、密碼和對應的主機信息，通常涉及數百個不同的登錄賬戶。當威脅行為者能夠查看用戶所使用的多種密碼變種時，他們就占了巨大的優勢。
• 這些日志通常還包含表單填寫數據，比如密保問題的答案，這些答案在用來繞過那些設有密保問題的網站安全措施十分有效。

信息竊取器日志的截圖  來源：Flare

三級泄露憑證

這一級別的泄露來源于信息竊取器日志，會對企業帶來極高的安全風險。最新的竊取器日志通常包含尚未失效的會話cookie，威脅行為者可以輕易利用這些cookie冒充受害者，實施會話劫持攻擊，有可能繞過雙因素認證（2FA）和多因素認證（MFA）的控制。

如果發現含有公司憑證的新的竊取器日志正在傳播時，應立即啟動事件調查，因為很有可能這些密碼處于正常工作狀態，威脅行為者可以直接訪問公司資源。

Telegram上的一個惡意軟件商店  來源：Flare

防御三級泄露憑證

盡可能為企業應用程序限制TTL（生存時間），以降低信息竊取器感染導致的會話cookie有效被分發的風險。

并非萬能的多因素認證

如果不監控泄露的憑證，許多員工很可能仍然只使用單因素認證，并且大多數人的密碼可能已經遭到泄露。

很多人認為，開啟雙因素認證就能防止憑證被盜，但事實是，威脅行為者非常清楚雙因素認證帶來的障礙，并且他們已經掌握了各種繞過阻礙的技巧和策略。

比如，通過社交工程手段對員工進行操作，或是利用雙因素認證機器人來截獲受害者的一次性密碼或驗證碼，又或是進行SIM卡置換，都可以繞過多因素認證控制。

對抗這類攻擊最有效的防御措施是使用驗證器應用程序，這些應用程序生成的是臨時的動態驗證碼，而不是通過電子郵件或短信接收的一次性密碼，相對來說更安全，在一定程度上確保了相關用戶擁有并控制著第二臺設備。