2024年第三季度,StealC窃密木马感染量暴涨376%。与此同时,超过8万条企业登录凭证流入俄罗斯暗网市场——而安全团队平均需要197天才能发现一次数据泄露。
这不是演习。Whiteintel情报部门3月24日发布的报告,用时间轴还原了一条企业密码从被窃到上架的完整旅程:48小时。比大多数公司的周末还短。
0-2小时:一次"正常"的下载
员工在搜索引擎找"免费版Photoshop",或在YouTube跟着教程装破解工具。Lumma Stealer——2024年部署量最大的窃密家族——就藏在这些流量里。
它不需要漏洞利用。用户亲手运行安装程序,UAC弹窗点"是",木马获得合法权限。传统EDR(端点检测与响应)不会报警:这看起来就是个普通软件在安装。
RedLine Stealer更隐蔽。尽管2024年10月"马格努斯行动"被执法端掉,它仍以每月100-200美元的价格作为"恶意软件即服务"流通。买家租到的是完整运营后台,连客服都有。
2-12小时:你的浏览器在"自动填表"
木马开始工作。Chrome保存的密码、Edge的自动填充记录、企业VPN客户端的凭据缓存——现代浏览器的便利功能,成了批量导出的数据表。
Whiteintel发现,窃密者特别瞄准"非受管设备":员工的个人笔记本、外包商的临时电脑。这些设备连不上公司的MDM(移动设备管理),SOC(安全运营中心)的仪表盘上根本不存在。
有个细节很扎心:很多员工用个人浏览器登录企业SaaS,因为"公司的电脑太慢"。密码同步到个人Google账号,木马一窃一个准。
12-24小时:打包与定价
harvested数据被压缩成"日志文件"(logs)。每条记录标注来源:哪个国家、什么行业、有没有企业邮箱域。金融和医疗的溢价30%,带MFA(多因素认证)绕过工具的再贵20%。
俄罗斯市场(Russian Market)是主要集散地。不是暗网深处,而是有搜索栏、客服工单、甚至退款政策的电商平台。买家用加密货币结账,卖家评分决定流量分配。
报告里有个被忽视的转折点:2024年Q1到Q3,StealC的8万条日志只是"被观测到的"。实际流通量可能是这个数字的3-5倍——很多交易在私密Telegram频道完成,爬虫抓不到。
24-48小时:上架,以及第一个买家
企业凭证通常在第36小时左右出现。价格从几美元到数百美元不等,取决于"新鲜度"和权限层级。
第一个买家往往是"访问经纪人"(access broker)。他们不搞勒索,只验证凭证有效性,然后加价转卖给勒索软件团伙。平均周转时间:72小时。
这意味着什么?当安全团队周一早上发现异常登录时,原始窃密者早就离场,凭证已经被倒过两三次手。溯源变成考古。
为什么现有防线失效
传统安全架构假设攻击者需要"进入"网络。防火墙、IDS(入侵检测系统)、网络分段——都是为"横向移动"设计的。
窃密木马完全绕过这套逻辑。它不需要在你的服务器上驻留,只收割终端上的凭证,然后走HTTPS直连暗网。流量看起来就像普通云同步。
Whiteintel把这叫"能见度鸿沟"(visibility gap)。企业花数百万买的SOC,监控的是"受管资产";而泄露发生在"影子IT"——员工自己的设备、浏览器、习惯。
有个类比:你在豪宅装了全套安防,但保姆每天把钥匙复印件贴在小区公告栏。摄像头拍不到公告栏。
勒索软件的新供应链
报告确认,凭证窃取已成为勒索攻击的首选入口。2024年LockBit、BlackCat等团伙的入侵事件,超过60%始于"合法"登录—— stolen creds,不是漏洞利用。
这改变了攻击经济学。以前搞勒索需要0day、需要钓鱼、需要内网渗透。现在只要几百美元买组凭证,RDP(远程桌面协议)直连域控,周末就能部署加密程序。
更麻烦的是"供应链污染"。第三方库、软件更新、甚至Chrome扩展,都被发现植入窃密代码。用户信任的开发渠道,成了批量感染的管道。
Whiteintel建议的应对很实际:监控暗网市场的企业凭证泄露,比加固 perimeter 更有效。但这也引出一个尴尬问题——当8万条日志在Q3流入市场时,有多少企业知道自己的名字在里面?
48小时的生命周期里,防御窗口其实只有前12小时。一旦数据打包完成,你就从"阻止泄露"降级为"事后响应"。而大多数公司的平均检测时间,是以月计算的。
你的密码上次修改是什么时候?如果答案是"公司强制要求的90天前",那它可能已经在某个暗网店铺里,被标好了价格。
热门跟贴