چگونه اینفواستیلرها (Infostealers) اعتبارنامه‌های سرقت‌شده را به هویت‌های واقعی تبدیل می‌کنند.

اینفواستیلرهای  دامنه سرقت اطلاعات را بسیار فراتر از نام‌های کاربری و گذرواژه‌ها گسترش داده‌اند. طی یک سال گذشته، کمپین‌های آن‌ها با سرعت بیشتری پیش رفته و کاربران را تقریباً بدون تمایز میان کارمندان سازمانی و افراد عادی در دستگاه‌های شخصی هدف قرار داده‌اند.

این آلودگی‌ها به‌طور معمول علاوه بر اعتبارنامه‌ها، داده‌های گسترده‌تری از نشست‌های کاربری (Session Data) و فعالیت‌های کاربران را نیز جمع‌آوری می‌کنند. مجموعه داده‌های به‌دست‌آمده توسط دلالان دسترسی اولیه (Initial Access Brokers) جمع شده و فروخته می‌شود و سپس در حملات بعدی علیه محیط‌های شخصی و سازمانی مورد استفاده مجدد قرار می‌گیرد.

اینفواستیلرها داده‌های شما را از کجا به دست می‌آورند و چگونه از آن سوءاستفاده می‌کنند؟

موفقیت اینفواستیلرها معمولاً ناشی از یک ضعف واحد نیست، بلکه حاصل ترکیبی از رفتارهای رایجی است که در مقیاس گسترده تکرار می‌شوند.

سرویس‌های حرفه‌ای و سازمانی

سرویس‌هایی مانند LinkedIn، GitHub، Microsoft Teams و Microsoft Outlook و همچنین دامنه‌های سازمانی، به‌طور مکرر در این داده‌ها دیده می‌شدند. تنها لینکدین نزدیک به ۹۰۰ هزار رکورد را به خود اختصاص داده بود که مسیری مستقیم از داده‌های سرقت‌شده به نام واقعی افراد، عنوان شغلی و وابستگی سازمانی آن‌ها فراهم می‌کند.

هویت شخصی و شبکه‌های اجتماعی

پلتفرم‌هایی مانند YouTube و Facebook نیز حجم بالایی از داده‌ها را شامل می‌شدند. این سرویس‌ها اغلب حاوی نام واقعی، تصاویر و ارتباطات اجتماعی افراد هستند و این موضوع تأیید هویت یک کاربر به‌خطر‌افتاده و اتصال او به سایر حساب‌ها را آسان‌تر می‌کند.

سرویس‌های حساس و پرریسک

این مجموعه داده همچنین شامل اعتبارنامه‌ها و کوکی‌های مرتبط با سرویس‌های حساس بود، از جمله دامنه‌های دولتی و مالیاتی مانندInternal Revenue Service (IRS) و Canada Revenue Agency، دسترسی به چنین سرویس‌هایی خطراتی فراتر از تصاحب ساده حساب کاربری ایجاد می‌کند.

آگاه به امنیت، اما همچنان در معرض خطر

دامنه‌هایی مانند Shodan و حتی United States Department of Defense (mil.gov) نیز در این داده‌ها دیده می‌شدند؛ موضوعی که یک واقعیت ناخوشایند را یادآور می‌شود: آگاهی فنی لزوماً به معنای مصونیت نیست.شیوه‌های امنی که در محیط‌های سازمانی رعایت می‌شوند، همیشه به سیستم‌های شخصی تعمیم پیدا نمی‌کنند.با این حال، افشا شدن اطلاعات در همان سیستم‌های شخصی نیز می‌تواند ریسک سازمانی ایجاد کند.

برای مهاجمان، این اطلاعات امکان اجرای فیشینگ هدفمند، مهندسی اجتماعی و اولویت‌بندی دسترسی‌هایی را فراهم می‌کند که می‌تواند آن‌ها را عمیق‌تر به محیط‌های سازمانی نفوذ دهد.به‌ویژه در مواردی که استفاده مجدد از گذرواژه وجود دارد.

چگونه اعتبارنامه‌های سرقت‌شده به داده‌های هویتی تبدیل می‌شوند؟

بزرگ‌ترین خطر این است که داده‌های به‌دست‌آمده از اینفواستیلرها به‌راحتی می‌توانند چندین حساب کاربری و الگوی رفتاری را به یک فرد واقعی مرتبط کنند. این مجموعه‌های افشاشده معمولاً نام‌های کاربری تکرارشده در سرویس‌های مختلف، نام کاربری ویندوز، فایل‌های ذخیره‌شده در پوشه‌های کاربر، داده‌های نشست‌های فعال (Active Sessions) و سوابق دقیق فعالیت در محیط‌های گوناگون را آشکار می‌کنند.این نشانه‌ها به مهاجمان اجازه می‌دهد از یک اعتبارنامه‌ی به‌خطر‌افتاده، به شناسایی یک فرد، کارفرمای او و حتی نقش احتمالی‌اش در یک سازمان برسند.چیزی که ممکن است با نفوذ به یک دستگاه شخصی آغاز شود، می‌تواند به‌سرعت به ریسکی در سطح سازمانی تبدیل شود.

چرا اینفواستیلرها همچنان بسیار مؤثر هستند؟

کاربران برنامه‌ها را از منابع غیرمجاز نصب می‌کنند، گذرواژه‌ها را بین حساب‌های شخصی و سازمانی دوباره استفاده می‌کنند و برای راحتی بیشتر به ذخیره اعتبارنامه‌ها در مرورگر متکی هستند.اعتبارنامه‌ها و اطلاعات پرداخت ذخیره‌شده در مرورگر، برای مهاجمان بسیار ارزشمندند.وقتی یک اینفواستیلر سیستمی را آلوده می‌کند، این مخازن اطلاعاتی دسترسی فوری به داده‌های باارزش را در اختیار مهاجم قرار می‌دهد و تأثیر یک آلودگی واحد را به‌شدت افزایش می‌دهد.

پژوهشگران Specops بیش از ۹۰ هزار مجموعه داده افشاشده از اینفواستیلرها را تحلیل کردند؛ داده‌هایی که شامل بیش از ۸۰۰ میلیون ردیف اطلاعات جمع‌آوری‌شده در زمان آلودگی فعال بودند.این مجموعه‌ها شامل اعتبارنامه‌ها، کوکی‌های مرورگر، تاریخچه مرور وب و فایل‌های سطح سیستم ذخیره‌شده روی دستگاه‌های آلوده بودند.نتیجه این بررسی نشان می دهد که داده‌های استخراج‌شده توسط اینفواستیلرها به مهاجمان امکان می‌دهد اطلاعات فنی را به کاربران واقعی، سازمان‌ها و الگوهای رفتاری آن‌ها مرتبط کنند؛ به‌گونه‌ای که حتی یک آلودگی واحد نیز مدت‌ها پس از نفوذ اولیه برای مهاجم ارزشمند باقی می‌ماند.

راهکار

از آنجا که داده‌های استخراج‌شده توسط اینفواستیلرها اغلب هفته‌ها یا ماه‌ها پیش از شناسایی در گردش هستند، راهکارهای مقابله باید بر این فرض استوار باشند که بخشی از اعتبارنامه‌ها از قبل افشا شده‌اند.جلوگیری مستقیم از استفاده مجدد، از گذرواژه ارزش عملیاتی مجموعه‌داده‌های اینفواستیلر را کاهش می‌دهد و بازه زمانی سوءاستفاده از آن‌ها را کوتاه می‌کند.

با توجه به اینکه افشای هویت به‌طور فزاینده‌ای خارج از مرزهای سازمانی آغاز می‌شود، کاهش استفاده مجدد و اثرات زنجیره‌ای اعتبارنامه‌های سرقت‌شده همچنان یکی از مؤثرترین روش‌ها برای شکستن زنجیره حملات مبتنی بر اینفواستیلر است.

راهکار Specops Password Policy به سازمان‌ها کمک می‌کند این زنجیره ارتباطی را قطع کنند؛ این ابزار با اسکن مداوم Active Directory در برابر پایگاه داده‌ای شامل بیش از ۵.۴ میلیارد اعتبارنامه شناخته‌شده و افشاشده، عمل می‌کند نه اینکه فقط هنگام ایجاد یا بازنشانی گذرواژه‌ها آن‌ها را بررسی کند.

اعتبارنامه‌هایی که پیش‌تر افشا شده‌اند، حتی اگر از نظر فنی با سیاست‌های رمز عبور سازمان مطابقت داشته باشند، از تنظیم یا استفاده مجدد مسدود می‌شوند. این کار خطر استفاده دوباره از گذرواژه‌های به‌خطر‌افتاده در حساب‌های شخصی و سازمانی را کاهش می‌دهد.