За последние два года я разбирал больше полусотни инцидентов, где initial access начинался с одной пары логин/пароль из стилер-лога. В семи из десяти случаев от первого логина с украденными учётными данными до domain admin проходило меньше 48 часов. Рекорд в публичном поле - предположительно около 40 минут: группа Muddled Libra, по данным Unit 42, прошла от initial access до domain admin встроенными средствами Windows и украденными credentials, без единого эксплойта (точная метрика требует верификации по первоисточнику). Это не аномалия. Это воспроизводимый паттерн, одинаково работающий в commodity-атаках и в nation-state операциях.
Бизнес-логика: почему атаки на учётные данные дешевле эксплойтов
Три vendor-отчёта за 2024–2025 годы рисуют одну картину. CrowdStrike Global Threat Report 2025: 75% вторжений использовали действительные учётные данные - Valid Accounts (T1078, Initial Access / Defense Evasion / Persistence / Privilege Escalation). IBM X-Force Threat Intelligence Index 2025: рост identity-based атак на 71% год к году, инфостилеры с долей 32% стали самым распространённым типом malware, обогнав ransomware. Verizon DBIR 2025: 38% утечек данных напрямую связаны с кражей учётных данных.Причина чисто экономическая. Zero-day в enterprise-продукте стоит от десятков до сотен тысяч долларов. Набор свежих credentials для корпоративного VPN на маркетплейсе - от $10 до $2 700 в зависимости от уровня привилегий (по данным deepstrike.io). И вот что важно: credential-based initial access не оставляет характерных артефактов эксплуатации. Нет shellcode в памяти, нет аномалий в network traffic, нет сигнатур в EDR. Атакующий заходит через парадный вход, и его сессия неотличима от легитимной - до момента lateral movement.
Для пентестера и red team вывод практический: при наличии актуальных stealer logs можно полностью скипнуть этап recon -> exploitation -> foothold и сразу перейти к post-exploitation. Для security-инженера - модель "детектируем эксплойт на периметре" не закрывает три четверти реальных вторжений. Три четверти. Не "некоторую часть".
Credential harvesting techniques: инфостилеры как malware-конвейер
- Credentials from Web Browsers (T1555.003, Credential Access) - извлечение сохранённых паролей из Chrome, Firefox, Edge через прямое обращение к файлам Login Data (SQLite-база) и расшифровку DPAPI-защищённых записей. По сути - тупо читаем файл и дёргаем DPAPI.
- Steal Web Session Cookie (T1539, Credential Access) - кража session cookies, позволяющая обойти MFA. Атакующий реплеит cookie и получает доступ к сессии без пароля и второго фактора. MFA при этом превращается в декорацию.
- Keylogging (T1056.001, Credential Access / Collection) - перехват нажатий клавиш для захвата вводимых вручную паролей, включая те, что не сохраняются в браузере.
Векторы доставки эволюционируют. Кроме классического фишинга с вложениями (по данным deepstrike.io - около 60% заражений; IBM фиксирует рост доставки стилеров через фишинговые письма на 84% YoY) набирают обороты ClickFix-кампании. Это поддельные браузерные уведомления, имитирующие системные ошибки и предлагающие пользователю выполнить PowerShell-команду для "исправления". Пользователь сам копирует и вставляет вредоносную команду - красота, с точки зрения атакующего. Unit 42 выделяет ClickFix как один из ключевых новых векторов social engineering 2025 года наряду с SEO-poisoning и supply chain-компрометацией через заражённые пакеты в npm/PyPI.
По оценкам вторичных агрегаторов (deepstrike.io, Vectra), в первой половине 2025 года инфостилерами было похищено порядка 1.8 миллиарда credentials с 5.8 миллионов устройств - заявленный рост на 800% по сравнению с предыдущим периодом (первичный источник метрики не верифицирован; аналогичные оценки публикуют Flashpoint и KELA, но с расхождениями в методологии). Стилеры украли более 17 миллиардов browser cookies только за 2024 год - включая authentication-токены, позволяющие обходить стандартный TOTP-based MFA в большинстве реализаций.
Анатомия stealer log: что внутри
Типичный stealer log - директория с предсказуемой структурой:
Код:
/Browsers/
Chrome_Default.txt # URL | login | password
Firefox_profile0.txt
/Cookies/
cookies_chrome.txt # domain | name | value | expiry
/System/
system_info.txt # hostname, IP, AV, OS version
/Screenshot/
screenshot.pngInitial Access Brokers и credential stuffing атаки: экономика stealer logs на dark web
Между моментом сбора credentials стилером и account takeover (ATO) или ransomware-инцидентом работает цепочка посредников, оптимизированная на скорость.
Оптовая продажа stealer logs. Оператор стилера выгружает логи на маркетплейсы (Russian Market и аналоги) или в Telegram-каналы. Стоимость одного лога - около $10. "Сырые" датасеты продаются оптом от $50, по данным Kaspersky Digital Footprint Intelligence. Genesis Market до ликвидации в рамках Operation Cookie Monster (апрель 2023, FBI/Europol) предлагал доступ к порядка 80 миллионам credentials с около 2 миллионов ботов.
Сортировка и валидация. Специализированные группы покупают логи оптом и проверяют актуальность. По данным Push Security, менее 1% украденных credentials из мультивендорных TI-фидов оказываются пригодными к использованию - остальные устаревшие или сброшенные. Но при объёме 1.8 миллиарда даже 1% - это 18 миллионов рабочих пар. Достаточно.
Initial Access Broker (IAB). Проверенные доступы к корпоративным сетям через RDP, VPN, Citrix продаются отдельно. Средняя цена стандартного доступа - $500–1 000, пакет с admin-привилегиями - около $2 700 (по данным deepstrike.io). IAB не эксплуатируют доступ сами - перепродают ransomware-операторам, APT-группам, BEC-мошенникам. Access broker underground market в чистом виде, со своей специализацией и репутационной системой.
Credential stuffing (T1110.004, Credential Access) - автоматизированная проверка украденных пар логин/пароль на множестве сервисов. По данным Push Security, 1 из 3 сотрудников переиспользует пароли, а 9% идентификаторов имеют повторяющийся пароль без MFA. Одна утечка превращается в компрометацию десятка аккаунтов. OWASP A07:2021 (Identification and Authentication Failures) прямо указывает credential stuffing и password spraying как критические риски для веб-приложений.
Пример масштаба - криптобиржа Nobitex. По данным OSIBeyond, компьютеры двух сотрудников были заражены StealC и RedLine за месяцы до атаки. Стилеры тихо собрали admin-пароли, логины к webmail и системам управления проектами. Через украденные доступы атакующие проникли во внутренние системы и вытащили $81.7 миллиона из горячих кошельков. Два заражённых ноутбука - 81 миллион.
Метрика для IR: по данным deepstrike.io, более 54% жертв ransomware в 2024–2025 годах имели credentials своего домена на маркетплейсах стилер-логов до атаки. Окно между появлением лога на продажу и ransomware initial access сокращается - иногда до 48 часов.
Kill chain: от кражи учётных данных до domain admin
Типовая цепочка, воспроизводимая на пентестах и фиксируемая в реальных инцидентах.[Применимо: внутренний пентест, grey box (выданные low-priv credentials) и black box; modern-инфраструктура с Active Directory]
1. Initial Access - Valid Accounts (T1078). Атакующий использует credentials из стилер-лога для входа в корпоративный VPN или RDP. Без MFA - доступ мгновенный. С MFA, но при наличии session cookie (T1539) - MFA обходится. Инцидент Change Healthcare (февраль 2024): украденные credentials к Citrix без MFA привели к краже данных более 100 миллионов пациентов (по официальному уведомлению UHG, октябрь 2024), заявленному объёму 6 TB (утверждение ALPHV/BlackCat, не подтверждено жертвой), ущербу $872 миллиона (UnitedHealth Q1 2024 financial report) и выплате $22 миллиона выкупа аффилиату BlackCat. Одна пара логин/пароль - $872 миллиона ущерба.
2. Host Recon.
whoami /all, systeminfo, tasklist - определяем привилегии, версию ОС и запущенные процессы EDR-агентов. В grey box сценарии (с low-priv credentials) этот шаг критически влияет на выбор вектора: видим SeDebugPrivilege -> идём в LSASS Memory; нет привилегий -> Kerberoasting или поиск misconfigured services.3. Credential Dumping - LSASS Memory (T1003.001, Credential Access). Извлечение NTLM-хешей и Kerberos-тикетов из памяти lsass.exe.
Evasion-контекст по вендорам:
| Метод | CrowdStrike Falcon | SentinelOne | Elastic 8.11+ | Microsoft Defender for Endpoint |
|---|---|---|---|---|
| Mimikatz sekurlsa::logonpasswords | Детектируется | Детектируется | Детектируется | Детектируется |
| nanodump (direct syscalls) | Обходит user-mode хуки | Обходит user-mode хуки | Детектируется (kernel ETW-TI) | Частично детектируется |
| comsvcs.dll MiniDump (T1003.001) | Детектируется при стандартных политиках | Частично детектируется | Детектируется | Детектируется |
Когда техника НЕ работает: Credential Guard (Windows 10/11 Enterprise, Server 2016+) помещает NTLM-хеши в изолированный LSA Isolated process - дамп LSASS бесполезен. Альтернативы: DCSync (при наличии прав на репликацию), Kerberoasting (не требует привилегий), DPAPI abuse для извлечения сохранённых паролей. На практике Credential Guard встречается реже, чем хотелось бы - многие так и не включили его даже на Server 2019+.
4. Lateral Movement - Pass the Hash (T1550.002, Defense Evasion / Lateral Movement). NTLM-хеши из шага 3 используются для аутентификации на соседних хостах.
crackmapexec smb 10.0.0.0/24 -u admin -H <hash> для массовой проверки, impacket-wmiexec для получения shell без записи на диск.Ограничения: PtH работает исключительно с NTLM-аутентификацией. В средах с принудительным Kerberos (AES-only, GPO "Network security: Restrict NTLM: NTLM authentication in this domain -> Deny all") техника неприменима. CrowdStrike Falcon Identity Protection и Microsoft Defender for Identity генерируют алерт на PtH при детекции LogonType 3 + NtlmSsp без предшествующего события 4648. Но я видел среды, где эти алерты тонут в шуме - никто не смотрит.
5. Persistence - Golden Ticket (T1558.001, Credential Access). При компрометации krbtgt (через DCSync с правами Domain Admins / Replicating Directory Changes) атакующий создаёт поддельный Kerberos TGT с произвольным сроком действия. Поддельный TGT остаётся валидным до двукратного сброса пароля krbtgt (один сброс не инвалидирует тикет, т.к. KDC хранит current и previous keys). Два сброса, не один - об этом регулярно забывают при реагировании.
Вся цепочка в отсутствие адекватного мониторинга занимает 2–4 часа. В случае Muddled Libra (Unit 42) - 40 минут, с initial access через social engineering help desk вместо stealer logs.
Nation-state credential theft vs commodity: где проходит граница
На уровне техник (T1078, T1003.001, T1550.002) commodity и nation-state часто неразличимы. Различия проявляются в OPSEC, таймлайне и целях.Commodity (ransomware crews, BEC-группы):
- Источник credentials: массовые stealer logs, публичные утечки (Exploit.In - 593 млн записей, LinkedIn - 164 млн, по данным Have I Been Pwned)
- Таймлайн: часы - дни от initial access до импакта
- OPSEC: минимальный; шумные инструменты, Cobalt Strike с дефолтными профилями
- Цель: деньги - ransomware, data extortion, BEC
- Источник credentials: целевой фишинг, supply chain, а также stealer logs для тихого доступа к дипломатической почте (по данным deepstrike.io, такие кейсы фиксировались в 2025 году)
- Таймлайн: недели - месяцы, медленное продвижение
- OPSEC: высокий; living-off-the-land, легитимные RMM для C2, tunneling-сервисы
- Цель: шпионаж, стратегический доступ
Кейс: Snowflake, апрель–июнь 2024. 165 организаций скомпрометированы через credentials из стилер-логов, датированных 2020 годом. Ни одна пострадавшая учётная запись не использовала MFA. По данным Vectra, задействованы шесть семейств инфостилеров. Граница между commodity и APT тут стирается: техника commodity (stealer logs с маркетплейса), координация - уровень организованной группы.
По данным CrowdStrike, активность China-nexus adversaries выросла на 150% в 2024 году, а вредоносное использование GenAI для социальной инженерии удвоилось - обе тенденции напрямую питают credential exposure и компрометацию аккаунтов.
Detection: конкретные правила для SIEM против credential-based атак
4. Session cookie replay (T1539). Мониторинг impossible travel: новая сессия в M365/Google Workspace с IP, географически несовместимым с предыдущей за short timeframe. Google Chrome внедряет Device Bound Session Credentials (DBSC) - привязка cookie к TPM, что делает replay невозможным, но массового развёртывания пока нет.
Ограничение всех детектов. По данным Unit 42, credential-based атаки проходят не из-за продвинутых техник, а потому что организации пропускают или неправильно классифицируют критические сигналы. Alert fatigue и низкое покрытие identity-мониторинга - главные enablers. Средний gap между заражением инфостилером и обнаружением - 4 дня (Vectra). Четыре дня. За это время можно пройти всю kill chain дважды. OWASP A09:2021 (Security Logging and Monitoring Failures) описывает ситуацию, в которой отсутствие адекватного логирования делает обнаружение компрометации аккаунтов невозможным вне зависимости от качества корреляционных правил.
Три vendor-отчёта сходятся: украденные учётные данные - вектор номер один, инфостилеры - основной инструмент их добычи. Но есть проблема, которую аналитики обходят стороной. MFA подаётся как решение, хотя стилеры давно научились красть session cookies (T1539), превращая стандартный TOTP/push в декорацию. Snowflake показал, что 165 организаций не включили MFA вовсе - но даже если бы включили, cookies из стилер-логов обходят большинство реализаций. Device-bound cookies и FIDO2 hardware keys - единственные подходы, которые закрывают credential theft на уровне архитектуры, а не на уровне compliance-чекбокса. Попробуйте развернуть FIDO2 на десять тысяч сотрудников, когда бюджет на ИБ - два с половиной человека и Zabbix. Пока индустрия не перейдёт от "внедрите MFA" к "внедрите phishing-resistant MFA с device binding", credential-based атаки останутся initial access вектором номер один. Стоимость входа через украденные учётные данные будет ниже, чем через любой другой вектор - и для commodity-группы, и для APT29. Не потому что защиты нет, а потому что она внедрена на уровне галочки в аудиторском чеклисте, а не на уровне архитектуры аутентификации. По моим наблюдениям за последние полтора года, ни один из разобранных инцидентов с credential-based initial access не был бы возможен при FIDO2 + device-bound sessions - при условии полного охвата всех точек аутентификации. Если хочешь отработать эту цепочку от стилер-лога до domain admin в легальной среде - на HackerLab есть лаба с AD и credential-based lateral movement.
Последнее редактирование модератором:
