凭证盗窃和伪造是主要的隐形网络威胁之一。在2014年eBay的违约暴露1.45亿用户的个人信息是这样的秘密网络攻击的高知名度案件之一。恶意参与者获得了合法用户的用户名和密码,以窃取信息并破坏组织的数据库。
使凭证被盗和伪造比大多数其他网络攻击更为严重的原因是,通常很长一段时间以来,对系统或数据库的非法访问通常都未被发现。成功的攻击很难检测和解决。在2014年eBay事件中,黑客设法在229天之内保持了对用户数据库的完全访问权限。
网络攻击在不断发展,这使得追踪和预防变得越来越困难。传统的安全系统将不再足够。企业需要能够扫描多个安全层并提供跨端点,网络和用户活动的必要检测和预防功能的产品。需要扩展的检测和响应(XDR)平台。
不断发展的攻击技巧
黑客如何窃取凭据?有很多方法。可能是通过键盘记录程序,网络钓鱼,恶意软件或这些方法的组合。复杂的攻击采用不同的策略,这些策略需要持久性,感染端点以及某种形式的社会工程。
一个演示的那种成熟的传统的安全系统无法防止最近报道的攻击是Forelord,凭证窃取恶意软件在中东的大部分检测。这种网络攻击的活动是在2019年中期至2020年初之间发现的。它涉及使用鱼叉式网络钓鱼电子邮件来分发已知来自高级持续性威胁组织的恶意软件。
该攻击采取了许多步骤,并在Windows端点上使用了多种工具来绕过电子邮件服务和端点防病毒所使用的扫描工具。这些步骤可以总结如下:
攻击者发送包含Excel文件的网络钓鱼电子邮件。
如果用户打开ZIP附件,则宏将打开命令提示符。
然后执行一个批处理文件。
用户无意间启动了PowerShell脚本。
然后执行Forelord恶意软件。