破解云：基于凭证的攻击的持续威胁

随着组织越来越多地采用云技术，网络犯罪分子已经调整了他们的策略来针对这些环境，但他们的主要方法仍然相同：利用凭证。

云计算的采用率持续上升，预计 2024 年市场规模将达到 6000 亿美元。它越来越吸引网络犯罪分子。IBM 的《数据泄露成本报告》发现，40% 的泄露事件涉及分布在多个环境中的数据。

IBM X-Force 与 Cybersixgill 和 Red Hat Insights 合作，分析了 2023 年 6 月至 2024 年 6 月期间网络犯罪分子针对该市场的方法。这是凭证；但由于防御者越来越多地使用 MFA，情况变得复杂。

被盗云访问凭证的平均成本持续下降，过去三年下降了 12.8%（从 2022 年的 11.74 美元下降到 2024 年的 10.23 美元）。IBM 将此描述为“市场饱和”；但它也可以被描述为“供需”；即犯罪分子成功窃取凭证的结果。

信息窃取者是此次凭证盗窃的重要组成部分。2024 年排名前两位的信息窃取者是 Lumma 和 RisePro。他们在 2023 年几乎没有暗网活动。相反，2023 年最受欢迎的信息窃取者是 Raccoon Stealer，但 2024 年暗网上的 Raccoon 聊天从 310 万次提及减少到 3300 次。前者的增加与后者的减少非常接近，从统计数据来看，尚不清楚执法部门针对 Raccoon 分销商的活动是否将犯罪分子转移到不同的信息窃取者身上，或者这是否是一种明显的偏好。

IBM 指出，严重依赖凭证的 BEC 攻击占过去两年事件响应活动的 39%。报告指出：“更具体地说，威胁行为者经常利用 AITM 网络钓鱼策略来绕过用户 MFA。”

在这种情况下，钓鱼电子邮件会诱使用户登录最终目标，但会将用户引导至模仿目标登录门户的虚假代理页面。此代理页面允许攻击者窃取用户的出站登录凭据、来自目标的入站 MFA 令牌（供当前使用）以及会话令牌以供持续使用。

报告还讨论了犯罪分子越来越多地使用云来攻击云的趋势。“分析显示，越来越多的人使用基于云的服务进行命令和控制通信，”报告指出，“因为这些服务受到组织的信任，并与常规企业流量无缝融合。” Dropbox、OneDrive 和 Google Drive 被点名。APT43 （有时也称为Kimsuky）使用了 Dropbox 和 TutorialRAT；APT37（有时也称为 Kimsuky）网络钓鱼活动使用 OneDrive 分发 RokRAT（又名 Dogcall）；而另一项活动使用 OneDrive 托管和分发Bumblebee恶意软件。

报告坚持“凭证是最薄弱的环节，也是造成违规的最大单一原因”这一总体主题，还指出，报告期内发现的 27% 的 CVE 包含 XSS 漏洞，“这可能允许威胁行为者窃取会话令牌或将用户重定向到恶意网页”。

如果某种形式的网络钓鱼是大多数违规行为的最终根源，那么许多评论员认为，情况将会恶化，因为犯罪分子变得更加熟练和善于利用大型语言模型（gen-AI）的潜力来帮助生成比我们今天更大规模的更好、更复杂的社会工程诱饵。

X-Force 评论道：“近期针对云环境的 AI 攻击威胁仍然相对较低。”不过，它还指出，它观察到 Hive0137 使用 gen-AI。2024 年 7 月 26 日，X-Force 研究人员发布了以下发现：“X-Force 认为 Hive0137 可能利用 LLM 协助脚本开发，以及创建真实而独特的网络钓鱼电子邮件。”

如果凭证已经构成重大安全隐患，那么问题就变成了，该怎么办？X-Force 的一项建议相当明显：使用 AI 来防御 AI。其他建议也同样明显：加强事件响应能力；使用加密来保护静态、使用中和传输中的数据。 

但仅凭这些并不能阻止坏人通过前门的凭证钥匙进入系统。“建立更强大的身份安全态势，”X-Force 表示。“采用现代身份验证方法，例如 MFA，并探索无密码选项，例如二维码或 FIDO2 身份验证，以加强对未经授权访问的防御。”

这并不容易。IBM Security X-Force 战略网络威胁分析师 Chris Caridi 告诉SecurityWeek：“二维码不具备防网络钓鱼的功能。如果用户扫描恶意电子邮件中的二维码，然后输入凭证，那么一切都将不保。”

但并非完全没有希望。“FIDO2 安全密钥将提供针对会话 cookie 被盗的保护；公钥/私钥将考虑与通信相关的域（欺骗域会导致身份验证失败），”他继续说道。“这是防止 AITM 的绝佳选择。”

尽可能牢固地关闭前门，并确保内部安全是当务之急。

原文始发于微信公众号（河南等级保护测评）：破解云：基于凭证的攻击的持续威胁