2023 年前 7 个月，网络犯罪生态系统持续快速发展。勒索软件数据泄露攻击、窃取者日志分发以及针对组织的新攻击持续大幅增加。

本文探讨了网络犯罪生态系统的关键组成部分、窃取者日志及其在更广泛的网络犯罪生态系统中的作用。

什么是窃取者日志？

在过去三年中，信息窃取者恶意软件已成为网络犯罪最重要的媒介之一。

Infostealers 是远程访问木马 (RAT) 的一种形式，它会感染受害者计算机，窃取浏览器中保存的所有凭据以及会话 cookie，同时还会窃取其他敏感数据，例如信用卡信息、加密货币钱包数据和来自主机的其他信息。

然后，日志被使用或分发给其他网络犯罪分子，作为关键的初始向量，从而导致针对组织的金融欺诈、帐户接管攻击、勒索软件分发和数据泄露。

恶意软件即服务供应商、Telegram 和网络犯罪供应链

恶意软件即服务 (MaaS) 供应商不断开发信息窃取恶意软件的新变体，然后在专门的 Telegram 渠道中出售。我们今天看到的最常见的变体是RedLine、Vidar 和 Raccoon。

MaaS 供应商通常将其恶意软件打包在方便的每月订阅包中，这些包可以通过一定数量的加密货币轻松购买，并配有命令和控制 (C2) 基础设施以及可无缝管理数十万个窃取者日志的后端。

然后，威胁行为者只需确定将恶意软件分发给消费者的方法即可。

分发通常采取多种形式，其中最常见的一些形式是将信息窃取者有效负载添加到破解软件、网络钓鱼电子邮件、恶意广告和免费视频游戏货币广告中；infostealer 恶意软件主要以“喷雾和祈祷”的方式分布，很少用于有针对性的攻击。

一旦发生感染，数据就会以“窃取者日志”的形式渗透到恶意软件的后端基础设施。

左侧的屏幕截图显示了与常见信息窃取者变体相关的基础设施。这些列显示感染日期、国家/地区代码、标记重复项的复选框、凭据计数，最后是用于识别日志中高价值凭据的自动解析系统。

窃取者日志分布：Tor 和 Telegram 占据中心舞台

窃取者日志过去几乎只通过Genesis Market 和 Russian Market等流行的汽车商店在暗网在线商店上分发。

然而，近年来，越来越多的人采用消息平台Telegram来处理与网络犯罪相关的一切，包括窃取者日志分发；在每月收集的超过 100 万条独特日志中，我们目前看到超过 70% 的日志分布在 Telegram 频道上。

威胁行为者团体创建通常称为“云”的通道，他们将在其中出售对新收集的窃取者日志的访问权限，并收取订阅费。

除了出售“私人”频道的访问权限之外，这些团体通常还会有一个“公共”频道，他们在其中分发可被视为潜在买家通过购买其“私人”频道的订阅而获得的访问权限的样本。 。

每天，数千条窃取者日志分布在 Telegram 上，分布在数百个渠道中。

虽然这些渠道的大多数成员都在寻找一种简单的方法来快速赚钱，例如通过利用被盗的加密货币钱包或访问银行帐户，但其他更高级的用户将考虑利用提供的非法访问窃取者日志来破坏公司运营。

窃取者日志、访问代理和勒索软件附属机构

我们已经看到大量证据表明，初始访问经纪人(IAB)、在暗网论坛上运作并出售对公司网络和 IT 基础设施的访问权限的威胁行为者，使用日志作为初始访问的主要向量。

一旦 IAB 在公司网络中建立了立足点，访问权限本身就会在暗网论坛上拍卖。

根据所提供的访问级别，这些拍卖对于勒索软件附属机构来说可能很有价值，可以作为勒索软件攻击的“简单”切入点。

窃取者日志如何影响消费者和组织

窃取者日志对消费者和组织都构成危险，消费者（感染的受害者）面临成为金融欺诈或加密货币盗窃受害者以及未经授权访问其帐户的风险，但数量惊人的窃取者日志也提供了一些企业获得各种服务。

最近的 Flare 分析发现，超过 350,000 个日志包含常用企业应用程序的凭据，包括单点登录 (SSO) 门户、云环境访问权限和其他高价值应用程序。

使用 Flare 进行窃取者日志检测和修复

Flare 可自动检测数千万条窃取者日志中的企业凭据，为安全团队提供情境化的高价值警报。

Flare 的 SaaS 平台可自动检测导致勒索软件攻击、数据泄露和影响组织的其他形式网络犯罪的主要威胁。

注册免费试用，了解 Flare 如何在 30 分钟内将高价值的网络犯罪情报无缝集成到您的安全计划中。