“钥匙”被盗:2025年凭据泄露的激增与防御之道
本帖最后由 梦幻的彼岸 于 2025-8-10 10:59 编辑引言
当网络攻击事件发生时,我们常想到的是复杂的软件漏洞。但现实中,最普遍、最致命的攻击方式是什么?答案是“凭据泄露”——这把简单的“数字钥匙”正成为网络犯罪的首选工具。
Verizon 2025年报告,指出22%的数据泄露源于被盗凭据--这一令人瞩目的数据充分说明了泄露凭证作为攻击手段的普遍性。
报告地址:https://www.verizon.com/business ... igations-report.pdf
一、基础知识:什么是凭据
你可以把“凭据”(Credentials)想象成你进入各种“数字房间”的钥匙和锁的组合。它不是单指一个东西,而是一对信息,用来证明“你就是你”。
(一)最常见、最基础的凭据就是:
[*]用户名 (Username):你的“名字”或“账号”,用来标识你是谁。
[*]密码 (Password):你的“秘密口令”,用来证明你有权使用这个账号。
简单来说,凭据 = 用户名 + 密码。
(二)你每天都在使用凭据:
[*]登录你的微信、QQ、微博账号。
[*]登录你的邮箱(如Gmail、163邮箱)。
[*]登录你的工作电脑或公司系统。
[*]登录你的银行APP或购物网站(如淘宝、京东)。
(三)除了用户名和密码,更高级的凭据还包括:
[*]API密钥:一种特殊的“密码”,让不同的软件或服务能自动互相通信。比如,一个天气APP用API密钥从气象局服务器获取数据。
[*]访问令牌 (Access Tokens):在你登录后,系统发给你的一个临时“通行证”,让你在一段时间内无需重复输入密码就能使用服务。
二、隐患重重:凭据泄露会带来什么灾难?
如果攻击者偷到或从其它途径获得了你的凭据,就等于他拿到了你家的钥匙。他可以大摇大摆地进去,做很多坏事:
(一)直接“使用”:
攻击者可以用你的账号密码,直接登录你的邮箱、社交账号或工作系统。一旦进入,他就能:
[*]偷看你的隐私:阅读你的私人邮件、查看你的聊天记录、翻看你的照片。
[*]冒充你行骗:用你的微信给你的朋友发消息借钱,或者用你的工作邮箱给同事发钓鱼邮件,让大家上当。
[*]盗取你的钱:如果你的支付软件或银行账号凭据也被泄露,他可以直接转账或购物。
(二)一“密”多吃
攻击者还会通过“撞库”攻击,一串密码“通吃”多个账号:很多人为了省事,会在不同的网站(比如淘宝、微博、银行)使用同一个密码。攻击者拿到你在一个小网站泄露的密码后,会尝试用这个密码去登录你的其他重要账号。这就像偷到一把万能钥匙,能打开你所有的门。
(三)成为“帮凶”
1.成为“僵尸”或“肉鸡”:攻击者可以利用你被泄露的账号,在后台发送大量垃圾邮件(Spam)或进行网络攻击,而你却毫不知情。你的账号就成了攻击者的“机器人”。
2.对公司造成巨大危害:如果一个公司员工的工作账号凭据被泄露,攻击者就能进入公司的内部系统。利用该凭据的权限形成网络攻击的突破口这可能导致:
[*]核心数据泄露:客户信息、商业机密、财务数据被窃取。
[*]系统瘫痪:攻击者植入恶意软件,导致公司业务中断。
[*]品牌声誉受损:如果客户信息被泄露,公司的信誉会受到严重打击。
三、根本原因:凭据是如何泄露的
攻击者有多种“偷钥匙”的方法,最常见的有以下几种:
(一)钓鱼攻击 (Phishing)
这是最常用也最有效的手段。攻击者会伪装成你信任的人或机构(比如银行、快递公司、你的领导),给你发一封非常逼真的假邮件、假短信或假电话。
[*]邮件钓鱼:邮件里说“你的账号异常,请点击链接立即验证”,链接会跳转到一个和真网站一模一样的假网站,你一输入账号密码,信息就直接被攻击者偷走了。
[*]短信钓鱼 (Smishing):发一条短信说“ETC过期,请点击链接更新”,同样是假链接。
[*]电话钓鱼 (Vishing):冒充银行客服打电话给你,套取你的银行卡号和密码
(二)信息窃取软件 (Infostealers)
这是一种恶意软件。当你不小心下载了带病毒的文件或访问了恶意网站,这种软件就会偷偷安装在你的电脑或手机上。
[*]它会记录你按下的每一个键(这叫“键盘记录器”),所以你输入密码时,它就记下来了。
[*]它会偷走你浏览器里自动保存的密码。
[*]它会扫描你的电脑,把所有能找到的账号密码文件都打包发给攻击者。
(三)攻击数据库 (Hacked Databases):
很多网站会把所有用户的账号密码存放在他们的服务器数据库里。如果这个数据库的安全防护做得不好,攻击者就能直接“黑”进去,把整个数据库的数据(包括你的凭据)都拷贝走。这就是所谓的“数据泄露”。你可能在新闻里听过“XX网站上亿用户数据泄露”的新闻,指的就是这种情况。
(四)直接购买攻击者之间会进行交易。
一个攻击者通过上述方法偷到一批凭据后,会把它们打包成“组合列表”(Combo-lists),然后在卖给其他攻击者。所以,很多时候黑客用的凭据并不是他自己偷的,而是花钱买来的(也可能来自内鬼)。
(五)弱口令或默认密码
攻击者有时候会对要攻击的系统进行弱口令检测(如:使用默认的账号密码或容易被猜到的账号密码),若检测到了属于间接泄露。
四、针对加固:降低损失与防御
(一)预防层面:加强身份鉴别机制
1.多因素认证机制
常规的账密验证机制泄露后可被直接利用,若相关系统有多因素认证机制,如:除了输入正确的账密验证你身份外还通过想你发送验证码进行二次验证,即使攻击者获得了你的账号密码也不能直接利用(未使用漏洞绕过该机制和其它攻击手法,防御不能完全说万无一失,是个对抗的过程)
2.异常检测
(1)IP异常
检测登录IP若异常(如IP归属地)则自动退出,需进行验证后才可继续登录(并提示需要修改登录密码,才可继续登录,虽然繁琐了一些但增强了利用难度)
(2)设备异常
检测登录终端异常(如新电脑)则自动退出,需进行验证后才可继续登录(并提示需要修改登录密码,才可继续登录,虽然繁琐了一些但增强了利用难度)
(3)登录频率
检测一段时间内登录频率过高或有设备已登录又有登录请求则自动退出所有登录账号,并需进行验证后才可继续登录(并提示需要修改登录密码,才可继续登录,虽然繁琐了一些但增强了利用难度)
或一个账号一段时间内有多次错误的登录请求(常规知道密码的情况下,输入错误3次很难)
3.安全意识增强
自身加强相关安全意识,如定期更换密码,严禁密码复用,预防钓鱼和内网攻击。
(1)可疑邮件不查看:练就“火眼金睛”,从源头切断风险
这不仅仅是“不看”那么简单,而是要培养一种怀疑和验证的习惯。保持警惕,永不信任原则,对所有非主动发起的邮件、短信、即时消息(如微信、QQ)都抱有“这是假的”的初始怀疑态度。无论发件人看起来多么可信(如“银行”、“快递”、“IT部门”、“领导”),都要先验证。
检查发件人:仔细核对发件人的邮箱地址。骗子常常使用与真实地址非常相似的地址,例如将 @company.com 改为 @company-support.com 或 @cornpany.com(把o换成0)识别钓鱼邮件的典型特征:
[*]制造紧迫感:“您的账户将在24小时内被关闭!”、“立即验证,否则罚款!” 这类措辞旨在让你在慌乱中忽略细节。
[*]索要敏感信息:任何要求你提供密码、身份证号、银行卡号、验证码的邮件都是绝对的危险信号。正规机构绝不会通过邮件索要这些信息。
[*]包含可疑链接或附件:将鼠标悬停在链接上(不要点击!),查看底部状态栏显示的真实网址。如果网址看起来很奇怪、很长、或与邮件声称的网站不符,切勿点击。对于附件,尤其是 .exe, .zip, .scr 等可执行文件,除非你100%确定其来源和目的,否则绝不打开。
安全准则:
[*]不点击、不下载、不回复:对于任何可疑的邮件,最安全的做法就是将其删除或标记为垃圾邮件。
[*]独立验证:如果邮件声称来自某个机构(如银行),不要使用邮件中的联系方式。而是通过官方渠道(如官网、官方APP、客服电话)主动联系他们进行确认。
(2)安装软件要可靠:
只从官方渠道获取“数字工具”软件是工具,但也可能是“特洛伊木马”。只信任官方来源:
[*]操作系统商店:优先使用手机自带的应用商店(如苹果App Store、华为应用市场)或电脑的官方应用商店(如Microsoft Store)
[*]软件官网:如果必须从网站下载,务必直接访问该软件的官方网站。不要通过搜索引擎的广告链接或不明论坛的下载链接进入,这些链接很容易被劫持或替换。
警惕“破解版”和“绿色版”:免费获取付费软件的诱惑很大,但“破解版”、“和谐版”、“免安装版”往往是恶意软件的重灾区。这些软件可能被植入了信息窃取软件(Infostealers),会偷偷记录你的键盘输入、窃取浏览器密码。阅读安装过程中的每一步:在安装软件时,选择“自定义安装”而非“快速安装”。仔细阅读每一步的说明,取消勾选任何捆绑的、你不认识的“推荐软件”或“工具栏”。这些捆绑软件常常是广告软件或潜在有害程序(PUP)。保持软件更新:及时更新操作系统和所有已安装的软件。更新通常包含重要的安全补丁,可以修复已知的漏洞,防止黑客利用这些漏洞进行攻击。
(3)预防钓鱼和内网攻击:成为内部安全的“第一道防线”作为内部员工,你的行为直接关系到整个内网的安全。预防钓鱼(Phishing):
[*]以上两点是核心:识别可疑邮件和安装可靠软件是防范钓鱼的最主要手段。
[*]警惕“内部钓鱼”:攻击者可能伪装成公司领导或同事,通过邮件或即时通讯工具要求你“紧急”转账、提供敏感数据或点击某个链接。遇到此类请求,务必通过电话或当面进行二次确认。
防范内网攻击:
[*]使用强密码并避免复用:为工作账户设置一个复杂、唯一的密码,并定期更换。绝对不要将工作密码用于个人网站(如淘宝、微博),反之亦然。这是防止“撞库”攻击的关键。
[*]启用多因素认证(MFA):如果公司提供了MFA(如手机验证码、身份验证器APP),务必启用。这相当于给你的账户上了两把锁,即使密码泄露,攻击者也难以登录。
[*]保护个人设备:如果你需要在个人电脑或手机上处理工作事务(如查邮件),务必确保这些设备安装了可靠的杀毒软件,并保持系统更新。避免在这些设备上登录工作系统进行敏感操作。
[*]报告可疑行为:一旦发现任何异常情况(如收到可疑邮件、电脑运行变慢、弹出奇怪窗口),立即向公司的IT或安全部门报告。你的及时报告可能阻止一场大规模的网络攻击。
(二)主动发现:检测网上是否有泄露
无法保证用户名和密码永远不会泄露。尽管有广泛的网络安全保护和培训,攻击者仍可能设法侵入数据库或使用钓鱼手段诱骗最精明的员工泄露登录信息(这一风险因人工智能而加剧,人工智能帮助攻击者大规模执行复杂的钓鱼攻击)。
因此,不仅应投资于预防,还必须确保在与员工、客户或品牌相关的密码泄露时能够立即知晓。这一点尤其重要,因为攻击者通常不会立即利用被盗的登录信息。当他们侵入数据库时,需要时间来分析数据并确定如何处理。当能够快速检测泄露凭证会有机会阻止因它产生攻击面的攻击。如:可以简单地禁用受影响的账户或更新密码。
备注:如何检测账号密码已被泄露,避免方法被滥用在此不叙述。
五、骇人频率:凭据泄露有多严重?
(一)全球趋势:
根据Cyberint(Check Point)数据:2025年泄露凭据数量同比激增超160%报告获取地址:https://l.cyberint.com/leaked-credentials
(二)160 亿个暴露的登录凭据
几份登录凭据集合揭示了历史上最大的数据泄露事件之一,总共有 160 亿个暴露的登录凭据。这些数据很可能来自各种信息窃取者。
新闻发布地址:https://cybernews.com/security/b ... stealers-data-leak/
这项研究基于独特的网络新闻发现,最初于 6 月 18 日发表在网站上,并不断更新澄清和更多信息,以回应公众话语。该文章的最新版本收录了网络新闻研究员 Aras Nazarovas 和 Bob Diachenko 的评论,他们揭露了最近的数据泄露。解释了黑客如何使用和利用被盗密码。
1、1.84亿条记录的“神秘数据库”
今年5月底,Wired报道了一位研究人员偶然发现了一个包含约1.84亿条记录的“神秘数据库”。这个数字看似庞大,但与我们发现的实际规模相比,只是冰山一角。更令人担忧的是,研究人员表示,新的大规模数据泄露事件仍在每隔几周就不断出现,这充分说明了信息窃取型恶意软件的传播范围之广和活动之频繁。
2、泄露数据脱敏截图
来自Cybernews新闻分享的数据图片:
(三)90.5% 的勒索软件事件发生在凭据泄露后
资料来源:https://darkeye.org/news/905-of- ... er-credential-leaks
1.勒索软件组织及其对凭据泄露的利用
勒索软件组织是当前网络安全领域最具威胁的犯罪组织之一。他们的攻击行为远不止加密数据或索要赎金;攻击者通常会使用一系列复杂的渗透技术。这些攻击中的一个关键环节是利用凭据泄露,特别是当攻击者通过内部人员或恶意软件获取管理员凭据时。这使他们能够迅速提升对目标系统的控制权,导致大规模的数据窃取和破坏。在此背景下,了解勒索软件组织如何运作以及如何利用凭据泄露,对于企业制定有效的防御策略至关重要。攻击者经常窃取员工或用户的凭据,以提高其攻击的成功率。凭据泄露为攻击者提供了更高的可信度,使他们更容易绕过安全措施、发起钓鱼攻击或进行身份欺诈。这种做法不仅提高了初始攻击的成功率,也使得后续的渗透行为更加隐蔽且难以被发现。
2.聚焦凭据泄露以预防勒索软件事件
凭据泄露为勒索软件组织提供了多种攻击机会。例如,利用组织或用户的真实凭据,攻击者可以发起更具针对性的钓鱼邮件或社会工程攻击,从而显著提高成功率。用户通常更倾向于信任来自可信来源的通信,而泄露的凭据为攻击者提供了这种可信度,使得钓鱼攻击和身份欺诈更容易得逞。对过去一年中1000起勒索软件受害者的分析揭示了以下结论:
[*]90.5% 的受害组织在勒索软件攻击发生前曾经历过凭据泄露事件。
[*]57.5% 的受害组织在勒索软件事件发生后,仍持续遭遇新的凭据泄露。
在我们监控的数百个活跃勒索软件组织中,AvosLocker是其中之一。通过分析其历史活动,我们可以看到凭据泄露在其攻击策略中扮演了关键角色。获取凭据不仅帮助该组织绕过多层安全防御,还使其能够通过双重勒索策略进一步胁迫受害者支付赎金。本文将基于其过往行为和相关数据,深入探讨AvosLocker的攻击方法及其背后潜在的技术发展。
3.AvosLocker的崛起与活跃期
AvosLocker是一个于2021年7月首次出现的勒索软件组织。由于其复杂的多线程加密技术、隐蔽的文件覆盖技术以及极低的检测率,该组织迅速在犯罪社区中引起关注。该组织通过Dread和XSS等地下论坛招募具有Active Directory经验的渗透测试人员,建立了一个高度组织化的网络,负责攻击、谈判和管理数据泄露网站。AvosLocker的目标涵盖多个行业,包括信息技术、制造业、教育、金融服务和地方政府。该组织采用双重勒索策略,不仅加密受害者的文件,还威胁公开披露敏感信息,以此进一步向受害者施压以支付赎金。这种策略在短时间内对全球至少109家公司造成了重大损害。该组织严重依赖凭据泄露来确保其攻击的成功。凭借这些被盗的凭据,攻击者可以迅速获得系统访问权限,有效绕过企业安全防御。AvosLocker曾多次利用泄露的凭据,通过钓鱼攻击扩大其攻击范围。在这种情况下,凭据泄露不仅加速了初始渗透,还使攻击者能够进一步探索企业内部网络,窃取更多敏感信息。这种深度渗透能力显著增加了受害者支付赎金的可能性,因为企业担心数据泄露带来的长期声誉和业务影响。
4.勒索软件组织的隐蔽行动与品牌重塑
随着全球执法机构加大对网络犯罪的打击力度,许多勒索软件组织选择通过更改名称和品牌来逃避追查。AvosLocker似乎在2023年后逐渐消失,其主页和公共通信渠道相继关闭。这种突然消失通常意味着该组织正在进行品牌重塑,以避免被执法机构追踪。历史勒索软件组织更名案例:
[*]DarkSide 到 BlackCat: DarkSide是一个臭名昭著的勒索软件组织。2021年5月,Colonial Pipeline公司遭到DarkSide攻击,导致美国东海岸的燃料供应中断。此次攻击后,DarkSide宣布解散,但不久后,一个名为BlackCat(原名ALPHV)的勒索软件组织出现,其操作方式和加密技术与DarkSide相似。
[*]GandCrab 到 REvil: GandCrab是2018年至2019年活跃的勒索软件,之后该组织宣布“退休”。随后出现的REvil(又称Sodinokibi)被认为是GandCrab的继承者,因为两者在代码和操作方式上存在相似之处。
[*]CrySiS 到 Maze: CrySiS是一种早期的勒索软件,后来演变为Maze。Maze因其数据泄露网站而闻名,不仅加密受害者数据,还威胁在未支付赎金的情况下公开发布数据。
[*]BTCWare 到 Babuk: BTCWare是一个早期的勒索软件家族,后来演变为Babuk。Babuk勒索软件在2021年因针对大型组织并公开泄露其数据而受到关注。
[*]WannaCry 到 WannaRen: WannaCry是2017年的一次大规模全球勒索软件攻击。在WannaCry之后,出现了名为WannaRen的勒索软件,两者在某些方面存在相似之处。
[*]Locky 到 Zeppelin: Locky是2016年非常活跃的勒索软件。后来出现的Zeppelin勒索软件被认为是Locky的变种,因为两者在加密技术和传播方式上存在相似之处。
[*]Evil Corp 到 Indrik Spider: Evil Corp是一个与Dridex银行木马和Wickr勒索软件相关的网络犯罪组织。后来,Indrik Spider(又称Hercules)成为与Evil Corp相关联的新勒索软件。
PYG20周年生日快乐! PYG20周年生日快乐! 学习了{:handshake:}
PYG20周年生日快乐!
页:
[1]