Последний год я разбираю дампы инфостилеров - архивы с Telegram-каналов и лог-маркетплейсов - и в каждом втором нахожу действующие VPN- или RDP-аккаунты корпоративных сетей. Не тестовые, не просроченные - рабочие. По данным Verizon DBIR 2025, украденные учётные данные стали начальным вектором в 22% всех подтверждённых утечек - больше, чем любой другой метод initial access. IBM X-Force Threat Intelligence Index 2025 подтверждает сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. Credential-based attacks - отлаженный конвейер, и дальше я покажу, как он работает от первого лога до domain admin.
Бизнес-логика credential-based attacks и путь к ransomware
Зачем атакующему ломать периметр, если можно войти через дверь с чужим ключом? По данным CrowdStrike Global Threat Report 2025, 86% атак имеют финансовую мотивацию (eCrime). Украденные учётные данные - самый дешёвый способ получить initial access, и вся экономика строится на трёх стадиях с отдельными участниками.Стадия 1 - сбор. Инфостилер заражает машину сотрудника и вытаскивает сохранённые пароли, куки, токены. Параллельно credential stuffing атака прогоняет утёкшие комбо-листы по публичным сервисам. На языке MITRE ATT&CK - Valid Accounts (T1078, Initial Access) и Brute Force (T1110, Credential Access).
Стадия 2 - торговля. Логи стилеров уходят на маркетплейсы и в Telegram за $10–50 за архив. Initial access broker (IAB) фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» ransomware-аффилиатам за $500–5000. По данным ReliaQuest, в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection - в восемь раз больше следующей категории.
Стадия 3 - эксплуатация. Аффилиат получает initial access, разворачивает payload, двигается к domain admin, шифрует данные. По данным Verizon DBIR 2025, медианный выкуп - $46 000, а максимум в одном инциденте достиг $75 млн.
Каждый этап детерминирован: без логов нет IAB, без IAB ransomware-оператор не получает точку входа. Компрометация учётных данных - тот класс рисков, который OWASP выделяет в категории A07:2021 - Identification and Authentication Failures: credential stuffing, слабые пароли, отсутствие MFA.
Credential stuffing атака и password spraying: механика и ограничения
Credential stuffing (T1110.004) - автоматическая подстановка утёкших пар логин:пароль к сервисам, где пользователь мог повторить те же креды. Password spraying (T1110.003) - обратная механика: один распространённый пароль применяется к большому списку аккаунтов, чтобы обойти блокировку.
Оба метода эксплуатируют одну и ту же привычку: по данным Verizon DBIR 2025, 51% паролей повторяются между сервисами. В базе Have I Been Pwned только один комбо-лист Exploit.In содержит 593 427 119 уникальных email-адресов с паролями. Полмиллиарда пар - и это один лист.
[Применимо: внешний пентест, black box, веб-приложение без anti-bot]
Bash:
# Credential stuffing: подстановка пар login:password из комбо-листа
# Hydra - стандартный инструмент, актуальный, поддерживается ([URL='https://github.com/vanhauser-thc/thc-hydra']vanhauser-thc/thc-hydra[/URL])
hydra -C combo_list.txt target.example.com https-post-form "/login:user=^USER^&pass=^PASS^:Invalid credentials" -t 4 -w 5-C указывает файл с парами в формате login:password, -t 4 ограничивает параллельные подключения. Burp Suite Intruder решает ту же задачу через Pitchfork-режим с двумя payload-позициями.Где это не работает:
- Rate limiting и lockout: большинство SaaS-платформ блокируют аккаунт после 5–10 неудачных попыток. Hydra без ротации IP срабатывает только на legacy-приложениях без anti-bot - внутренние порталы, забытые staging-среды
- CAPTCHA и anti-bot (Cloudflare, Akamai): credential stuffing атака в чистом виде не пройдёт без решателей CAPTCHA
- MFA: останавливает 99% автоматизированных подстановок. Но сессионные куки из стилер-логов обходят MFA полностью - атакующий наследует уже авторизованную сессию (T1539 Steal Web Session Cookie)
crackmapexec smb <targets> -u users.txt -p 'Summer2024!' или kerbrute passwordspray - и ждём.Инфостилер malware: анатомия лог-архива и путь к initial access
Credential stuffing - это подбор ключа к замку. Инфостилер - копирование всей связки ключей владельца. Стилер собирает не только пароли, но и сессионные куки, данные автозаполнения, крипто-кошельки и историю браузера.
Структура типичного лог-архива. Каталог для каждого браузера (Chrome, Edge, Firefox) с файлами:
Passwords.txt - строки в формате URL|Login|Password; Cookies.txt - дамп куки, включая сессионные токены; Autofill.txt - данные автозаполнения; System.txt - hostname, IP, ОС, установленное ПО. Для атакующего ключевая ценность - не пароли, а сессионные куки. Куки от Okta, Azure AD, Google Workspace дают доступ к корпоративным сервисам, минуя MFA. Пароль можно сменить - а куку, которая ещё живёт, уже не отзовёшь (пока не истечёт или не инвалидируешь сессию принудительно).Активные семейства (2024–2025):
- LummaC2 - лидер по листингам на маркетплейсах. Инфраструктура временно нарушалась совместной операцией Europol и Microsoft, но восстанавливалась
- Redline - был вторым по распространённости. В октябре 2024 международная операция ликвидировала инфраструктуру и привела к обвинениям против разработчика. По данным ReliaQuest, с Q3 по Q4 2023 количество листингов Redline выросло на 44%
- Rhadamanthys - заменил LummaC2 в некоторых панелях управления после правоприменительных действий
- Raccoon, Vidar - стабильные стилеры с широкой базой операторов
Каналы дистрибуции логов на stolen credentials dark web: Telegram, Russian Market, закрытые форумы. По данным ReliaQuest, Telegram предпочитают из-за удобного интерфейса и ощущения приватности. Рост листингов стилер-логов на маркетплейсах - 30,5% за квартал (Q3->Q4 2023).
Ransomware initial access: реальные кейсы и MITRE ATT&CK маппинг
Четыре кейса, показывающих превращение украденных учётных данных в полноценную ransomware-атаку и операции APT группы.BlackCat/ALPHV и Change Healthcare (февраль 2024)
BlackCat/ALPHV зашли в сеть Change Healthcare через T1078 Valid Accounts - украденные учётные данные без MFA на критичном сервисе. Далее - lateral movement через T1021 Remote Services, сбор данных (T1114 Email Collection), T1041 Exfiltration Over C2 Channel и финальный T1486 Data Encrypted for Impact. Результат - выплата порядка $22 млн и массовые перебои в здравоохранении США. Один аккаунт без MFA - и $22 млн ушли.Атаки на клиентов Snowflake (2024)
Threat-актор использовал учётные данные, украденные инфостилерами ещё в 2020 году, для доступа к порядка 160 инстансам Snowflake, включая AT&T и Ticketmaster. Ни один скомпрометированный аккаунт не использовал MFA. Четырёхлетней давности креды оказались валидными - пользователь сменил пароль в основном аккаунте, но забыл про Snowflake. Классическая история: основной аккаунт обновили, а про побочный сервис никто не вспомнил.MOVEit Transfer - CVE-2023-34362
SQL injection в MOVEit Transfer (CVE-2023-34362, CVSS 9.8 CRITICAL, вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, CWE-89) позволяла неаутентифицированному атакующему получить доступ к базе данных через HTTP-запросы. Уязвимость затронула Progress MOVEit Transfer и MOVEit Cloud, внесена в CISA KEV 2 июня 2023 года как активно эксплуатируемая. Здесь initial access - T1190 Exploit Public-Facing Application, но дальнейший kill chain идентичен: credential harvesting из базы, lateral movement, exfiltration, ransomware.Volt Typhoon - APT группы и украденные учётные данные
Отдельный кейс - APT. Китайская группа Volt Typhoon с 2019 года проникала в объекты критической инфраструктуры США через T1078 Valid Accounts и устаревшие маршрутизаторы. Их TTPs отличаются от ransomware-групп: вместо шифрования - длительное присутствие и подготовка к деструктивным действиям. Lateral movement через T1021 Remote Services, evasion через T1070 Indicator Removal и Living off the Land - PowerShell (T1059) вместо кастомных beacon. Никакого кастомного C2, никаких zero-day. Только легитимные инструменты и чужие аккаунты.| Этап kill chain | MITRE ATT&CK | Применение в кейсах |
|---|---|---|
| Initial Access | T1078 Valid Accounts | BlackCat, Snowflake, Volt Typhoon |
| Initial Access | T1190 Exploit Public-Facing App | MOVEit (CVE-2023-34362) |
| Execution | T1059 Command and Scripting Interpreter | PowerShell - все группы |
| Persistence | T1136 Create Account | BlackCat, Volt Typhoon |
| Credential Access | T1003 OS Credential Dumping | LockBit (Mimikatz), Volt Typhoon |
| Lateral Movement | T1021 Remote Services | Все кейсы (RDP, SMB, WinRM) |
| Defense Evasion | T1027 Obfuscated Files or Information | LockBit, BlackCat |
| Exfiltration | T1041 Exfiltration Over C2 Channel | BlackCat, MOVEit |
| Impact | T1486 Data Encrypted for Impact | BlackCat, LockBit |
Lateral movement techniques через украденные учётные данные
[Применимо: внутренний пентест, grey box - с low-privileged учётными данными]Получив initial access через скомпрометированные креды, атакующий движется к domain admin. Lateral movement строится на трёх техниках.
T1021 Remote Services
[Применимо: внутренний пентест, legacy и modern инфраструктура]RDP, SMB, WinRM - стандартные протоколы администрирования. При наличии пароля или NTLM-хеша используются
impacket-psexec (SMB), evil-winrm (WinRM), xfreerdp (RDP). На внутреннем пентесте с выданными low-privileged кредами первый шаг - recon: fingerprinting доступных хостов через crackmapexec smb <subnet>/24 -u user -p password --shares, затем проверка повторного использования паролей по всей подсети. Удивительно, как часто один и тот же пароль открывает десяток машин.T1003 OS Credential Dumping
[Применимо: внутренний пентест. На modern-инфраструктуре с Credential Guard - ограниченно]После закрепления на хосте - дамп LSASS для извлечения NTLM-хешей и Kerberos-тикетов. Mimikatz (
sekurlsa::logonpasswords) - стандартный инструмент, но детектируется из коробки.Детекция по вендорам:
- CrowdStrike Falcon: фиксирует обращения к процессу LSASS через user-mode хуки и kernel-level мониторинг. Прямой дамп через Mimikatz детектируется без дополнительной настройки
- Elastic 8.x+: использует ETW-TI (Event Tracing for Windows - Threat Intelligence) для обнаружения credential dumping на уровне ядра. T1003.001 (LSASS Memory) покрывается Elastic Defend начиная с версии 8.4+
- SentinelOne: поведенческий анализ блокирует паттерны обращения к LSASS, включая техники с direct syscalls и ntdll unhooking
impacket-wmiexec -hashes :NTLM_HASH и Kerberoasting через impacket-GetUserSPNs - основной путь к privilege escalation. Разница между «попали на modern» и «попали на legacy» - как день и ночь.Детектирование credential-based attacks: Sigma-правила и SIEM
D3-AM Access Modeling - построение baseline нормального поведения аккаунтов. Когда VPN-аккаунт из стилер-лога авторизуется с нетипичного GeoIP, D3-UGLPA (User Geolocation Logon Pattern Analysis) фиксирует аномалию.
Для SIEM-инженера: корреляция EventID 4624 (успешный вход) с нетипичными паттернами - вход в нерабочее время, из незнакомых подсетей, на серверы, к которым пользователь ранее не обращался. В Elastic Security это ML-job
auth_rare_source_ip_for_user. В Splunk - tstats с группировкой по src_ip и user с порогом отклонения от baseline. Если у вас нет хотя бы одного из этих правил - считайте, что credential-based attacks для вас невидимы.Заключение
Индустрия продолжает вкладываться в периметровые средства: межсетевые экраны, WAF, anti-DDoS. При этом 22% утечек начинаются не со взлома - атакующий входит через парадную дверь с чужим ключом. Тренд, который я фиксирую за последние два года: ransomware-группы всё реже используют эксплойты для initial access и всё чаще покупают готовый доступ у IAB на основе стилер-логов. BlackCat зашёл в Change Healthcare через украденные креды без MFA. Snowflake потеряла 160 клиентских инстансов из-за паролей четырёхлетней давности. LockBit использовал Mimikatz и PsExec - инструменты, которым больше десяти лет.Ни одна из этих атак не была технически изощрённой. Никто не обходил EDR через indirect syscalls, не писал zero-day, не разрабатывал кастомные C2-фреймворки. Проблема не в сложности угроз - а в том, что базовые меры (MFA на всех входных точках, мониторинг аномалий аутентификации, ротация кредов после утечек) внедрены в единичных процентах инфраструктур. Identity threat detection через год-два станет стандартом, как SIEM десять лет назад. Но пока этот момент не наступил, стилер-логи за десять долларов остаются самым рентабельным вложением для атакующих - и самой недооценённой угрозой для защитников. Проверьте свои VPN-аккаунты в Have I Been Pwned. Если хоть один светится - у вас та же проблема, что и у Change Healthcare, только пока без $22 млн в минусе.
Последнее редактирование модератором:
