从感染到入侵:现代窃取程序攻击的24小时全流程

admin 2025年6月5日23:16:44评论10 views字数 4906阅读16分21秒阅读模式
从感染到入侵:现代窃取程序攻击的24小时全流程
从感染到入侵:现代窃取程序攻击的24小时全流程

窃取程序已不再仅限于盗取密码。到2025年,其实时窃取的是用户会话——攻击者的行动速度与效率远超以往。

尽管多数人将账户劫持与个人服务挂钩,真正的威胁正在企业领域蔓延。Flare最新研究报告《账户与会话劫持产业链》分析了超2000万条窃取日志,并通过电报群组与暗网市场追踪攻击者活动。研究揭示了网络罪犯如何利用受感染的员工端点劫持企业会话——整个过程往往不超过24小时。

《账户与会话劫持产业链》报告核心发现包括:

各行业暴露率存在差异,社交媒体、云应用及娱乐平台平均月度遭窃会话量最高;账户暴露年增长率达28%,主要与信息窃取程序恶意软件的扩散相关;账户劫持和会话窃取的经济影响重大,具体包括:

• 安全调查人力成本(某大型流媒体平台年均约2620万美元)

• 账户劫持导致的欺诈损失(年均约750万美元)

• 用户流失风险,每年可造成数千万美元收入损失。

同时,报告强调亟需采取主动式账户劫持防御策略,着重指出自动化身份智能方案、会话重认证策略及早期暴露检测在降低会话劫持风险中的关键作用。

从感染到入侵:现代窃取程序攻击的24小时全流程
会话劫持——账户接管(ATO)的「最小阻力路径」

账户接管(ATO)攻击正如其名——当网络罪犯或威胁行为者未经授权获取网络应用账户的访问权限时即构成此类攻击。无论目标账户属于个人还是企业资产,攻击者均有多种方式利用或变现窃取的凭证。报告主要聚焦个人账户,剖析ATO如何影响全球使用最广泛的网络应用(其中多数为B2C而非B2B产品)。

攻击者历来通过多种手段实施账户接管,包括钓鱼攻击、社会工程、利用凭证泄露、暴力破解,甚至直接猜测弱密码(截至本报告发布时,Winter2025”及其变体仍是常见密码之一)。多年来,账户安全性已显著提升:密码复杂度要求、登录尝试限制及多因素认证(MFA)已成为标准配置,连消费级应用亦不例外。

然而,会话劫持技术却基本不受这些安全措施影响。该方法利用旨在提升用户体验的会话Cookie或令牌反噬用户。尽管此技术广为人知,它仍在包括2023Okta事件在内的重大泄露事件中扮演关键角色。连知名网络安全企业亦沦为受害者的事实,凸显了防御此攻击的艰巨性。

2024年,谷歌研究人员报告称:基于会话Cookie的攻击频率已与密码攻击持平。会话劫持日益猖獗的现象,可通过经典的犯罪分析框架「动机-手段-机会」简明阐释。该技术正处于三重因素的交叉点:

• 丰厚经济利益;

• 低成本工具的广泛普及:攻击者可轻松复制浏览器会话的「反检测」浏览器工具唾手可得;

• 信息窃取程序(Infostealer)的恶意运作:Flare多年深度追踪的窃取程序日志包含失陷的会话令牌与凭证,它们持续提供可即时投入攻击的新鲜被盗数据,由此驱动「机会飞轮」的运转。

从感染到入侵:现代窃取程序攻击的24小时全流程
按行业划分的会话劫持暴露情况
数据说明

数据主要基于受感染设备统计。换言之,即信息窃取程序恶意软件成功运行并提取浏览器数据的设备。数据采集时间跨度约四年。为简化分析,建议采用单设备对应单账户的估算基准。尽管现实中存在以下情况:

• 部分染毒设备可能暴露同一应用的多个账户

• 部分暴露账户可能出现在多台染毒设备

但这两类子集可视为大致相互抵消。这种1:1估算模型虽不完美,仍为评估账户接管(ATO)和会话劫持暴露风险提供了合理基线。数据涵盖全球逾100个最常用网络应用程序,并按行业门类细分。

ATO 曝光率
从感染到入侵:现代窃取程序攻击的24小时全流程
平均新暴露账户数(每月)
从感染到入侵:现代窃取程序攻击的24小时全流程
平均新暴露账户(每月)–缩放视图
从感染到入侵:现代窃取程序攻击的24小时全流程
关键观察

此外,更严格的会话Cookie策略与身份验证机制导致网络安全、银行及博彩类应用的暴露量相对较低。

网络应用的用户规模与其在Flare数据库中的暴露量呈现显著正相关性:社交媒体巨头因全球用户量达数亿级,暴露量普遍更高;而加密货币交易所与博彩网站因用户基数较小,暴露量相应较低。

必须考量本数据集的固有设备偏差——绝大多数泄露账户源自Windows笔记本电脑或台式机的浏览器环境,非移动设备(如智能手机、平板)。因此,移动端主导型应用在本数据集中存在代表不足现象。

暴露设备的年度增长率预估

本数据源自Flare2021年起的持续监测成果。该增长率反映过去四年间暴露账户数量的年度复合增长态势。

从感染到入侵:现代窃取程序攻击的24小时全流程
从感染到入侵:现代窃取程序攻击的24小时全流程

金融科技(Fintech)的高增长率主要反映全球服务普及度提升与攻击者机会增长的双重效应;博彩业处于增长率底层的现象值得深究——尽管北美市场呈现爆发式扩张,但该行业的多重认证策略与前述设备偏差或可解释这一矛盾现象。

会话劫持对大型网络应用的经济影响量化

精准量化会话劫持的经济影响颇具挑战。为帮助企业评估风险,报告发布方开发了行业级风险收益计算模型:通过将行业平均月度暴露账户数乘以单次账户接管(ATO)的近似成本,即可得出活跃会话风险的基准估值。需注意该模型未覆盖全部要素——须综合考量人力成本、欺诈损失及客户流失等因素,方能全面把握会话劫持风险。

人力成本

人力成本属于显性却常被低估的支出。2023年亚马逊披露:其投入超12亿美元并动用1.5万名员工应对欺诈与滥用问题,折合年均2500万工时。但全球仅有少数企业具备此等资源规模。更普适的方案是按事件调查量化人力成本:

账户接管事件调查成本假设

1时薪基准:6075(约430-540元人民币)

基于网络安全/欺诈风险专家13-15万美元总薪酬含附加福利。

2单次有效调查耗时:30分钟至1小时

含告警研判、威胁情报与内部日志关联分析、跨部门沟通等前置流程。

实务中:简单事件调查或低至30分钟(3040),复杂案件或达2小时(130150)。单次ATO事件$70(约500元)是合理基准值。

70乘以年度ATO事件量,即可确立人力成本基线。此计算同时揭示推行基于身份智能的主动化、规模化工作流所蕴藏的降本空间:例如自动标记泄露凭证与活跃会话并触发密码重置及会话重认证,可直接减少ATO调查量——每规避一例事件即节约70成本,并释放分析师精力转向高价值任务。

欺诈损失

账户接管引发的欺诈损失因行业与应用类型差异巨大:

1、流媒体账户风险较低,损失通常封顶于月费价值

2、电商商家账户则动辄导致数万美元损失

下方图表分行业呈现单账户欺诈损失估值(虽未穷尽所有场景,但清晰展现单账户沦陷后可能衍生的多重欺诈路径):

从感染到入侵:现代窃取程序攻击的24小时全流程
从感染到入侵:现代窃取程序攻击的24小时全流程

该报告通过捕捉客户情绪与实际安全事件,揭示企业在风险沟通和账户接管(ATO)响应中的表现。基于此,报告发布方构建了虚构流媒体平台Vidz2Stream的经济影响模型(该平台拥有1.5亿全球用户,月费20美元/年费240美元):

1、 Vidz2Stream平台ATO客户流失模型

从感染到入侵:现代窃取程序攻击的24小时全流程

2、客户流失率动态分析

从感染到入侵:现代窃取程序攻击的24小时全流程

3、客户流失总量

145,000用户(基于四类场景加权计算)

对应营收损失:3,480万美元(14.5万×240美元)

4、复合成本全景模拟

从感染到入侵:现代窃取程序攻击的24小时全流程
结论

Vidz2Stream案例中,账户盗用与会话暴露每年至少造成6850万美元的损失。

对此,报告发布方希望这些数据能帮助业界深入理解会话暴露现象的规模、影响及行业趋势。更重要的是,他们期望这些发现能够激励安全团队优化检测与响应策略——转向采用主动防护措施,在攻击者利用暴露会话之前,通过持续识别、监控和修复机制规避欺诈风险,解放人力成本,从而为终端用户带来更优的安全成效。

会话劫持肆虐下的企业生存指南

显然,这份报告揭示了现代网络犯罪的高效化与商业化趋势——会话劫持已成为账户接管(ATO)的最小阻力路径。攻击者利用信息窃取程序(Infostealer)在员工设备上窃取活跃会话令牌,24小时内即可完成从感染到入侵的全过程。这种攻击方式绕过了密码复杂度、多因素认证(MFA)等传统防线,其威胁已远超个人账户范畴,正大规模侵蚀企业安全边界。各行业面临的暴露率虽不相同(社交媒体、云应用首当其冲),但无一能置身事外,且年均28%的暴露增长率预示着风险将持续攀升。

因此,防御策略必须从认证加固转向会话免疫。传统的账户安全措施对会话劫持几乎失效,企业需构建以身份智能为核心的新一代防护体系:

1、实施自动化凭证与会话监控:主动扫描暗网、日志市场及黑客论坛,持续监控企业域名相关的员工凭证和会话令牌是否被泄露。一旦发现,立即触发自动化响应流程(如强制密码重置、终止相关会话)。这是切断“机会飞轮”的关键,能有效阻止攻击者利用窃取的数据发起攻击。

2、部署智能会话生命周期管理:摒弃“永久有效”或过长时效的会话策略。对高价值应用(尤其是云服务、管理后台、金融系统)实施:

动态会话超时:根据操作敏感性、网络环境(如IP变更、地理位置跳跃)实时调整会话有效期。

关键操作重认证:在进行敏感操作(如转账、修改权限、访问核心数据)前,强制进行阶梯式身份验证(如重新输入密码或触发MFA)。

设备与行为绑定:将会话与首次认证时的设备指纹、行为模式进行强关联,异常访问即时终止会话并要求完整认证。

3、投资反检测浏览器识别技术:报告指出攻击者广泛使用“反检测”浏览器工具复制会话。企业需部署能识别此类工具异常行为特征(如浏览器指纹伪造、自动化脚本痕迹)的解决方案,将其作为高风险信号纳入防御体系。

同时,将安全成本转化为风险管控收益。报告揭示的巨额经济损失(如案例中流媒体平台年损6850万美元)警示我们,安全投入是保障企业营收的必要成本:

1、量化自身风险,精准投入:企业应参考报告中的行业暴露数据和损失模型,结合自身业务规模、用户量、应用类型(特别是高暴露的社交媒体、云应用、电商平台)评估潜在的ATO事件量、人力成本(调查响应)、欺诈损失及客户流失风险。这为安全预算的合理性提供了强有力的数据支撑。

2、自动化降本,释放人力价值:高达2620万美元的人力成本案例凸显了“告警疲劳”的代价。投资自动化身份威胁检测与响应(ITDR)解决方案,将安全团队从海量低效的手工调查中解放出来,聚焦于高价值威胁分析和策略优化。自动化处理每一起事件都意味着直接的成本节约(报告基准为$70/事件)和效率提升。

3、客户信任是核心资产,主动沟通降低流失:Vidz2Stream模型清晰表明,未收到通知却归咎企业的用户流失率高达30%。企业必须建立透明、快速的账户异常事件通知与响应机制: 

主动监测,及时预警:利用身份智能平台,在用户投诉或遭受损失前发现账户异常。

清晰沟通,承担责任:一旦确认ATO事件,立即通知受影响用户,清晰说明情况、企业采取的措施及用户保护建议。主动担责能显著降低用户流失(模型显示收到通知且归咎企业的用户流失率仅15%)。

简化恢复流程:提供便捷、安全的账户恢复途径,最大限度减少用户不便。

从感染到入侵:现代窃取程序攻击的24小时全流程

此外,还要关注行业特性,弥合移动安全短板:

1、行业差异化防御:社交媒体、云服务商需将防御资源重点倾斜于会话监控与快速失效;金融科技、银行业虽当前暴露量低,但32%的高增长率要求其未雨绸缪,强化交易环节的重认证;游戏、娱乐平台需警惕虚拟资产盗窃和欺诈性消费。

2、重视移动端安全:报告数据主要反映Windows设备风险,移动端(手机、平板)成为潜在盲区。企业需加强对移动应用会话管理机制的安全审查,确保其与会话令牌存储的安全性,并考虑将移动端威胁情报纳入监控范围。

构建主动免疫的“会话护城河”

会话劫持的肆虐标志着账户安全进入新纪元。企业不能再依赖城堡与护城河式的静态防御。生存之道在于构建以持续监控、智能响应、主动免疫为核心的身份安全体系。通过自动化身份智能平台实时洞察威胁,通过精细化的会话生命周期管理提升攻击成本,通过透明的风险沟通守护客户信任,并将安全投入精准导向风险量化最高的领域。唯有如此,企业才能在攻击者高效的24小时闪电战中立于不败之地,将报告揭示的巨额经济损失转化为可量化的安全投资回报。这场战役的关键,在于从被动响应转向主动免疫。

原文地址:

Account 和 Session Takeover 经济 - Flare |网络威胁情报 |数字风险保护 --- The Account and Session Takeover Economy - Flare | Cyber Threat Intel | Digital Risk Protection

原文始发于微信公众号(安在):从感染到入侵:现代窃取程序攻击的24小时全流程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月5日23:16:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从感染到入侵:现代窃取程序攻击的24小时全流程https://cn-sec.com/archives/4137557.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息