亲爱的，我的凭据丢了！在互联网上查找明文凭据

编辑和评论补充：Tricia Howard

为了保护隐私，我们对图片和文字中的信息进行了大量编辑。

即使是威胁搜寻人员，也不是每天都能在互联网上发现明文凭据。

我们的 Akamai Hunt 团队由主动威胁搜寻人员组成，专门负责检测客户网络中的异常情况、威胁和风险。在网络安全领域中，一个很大的风险就是数据泄露，而这正是我们要预防的风险。无论是预防、检测还是抵御，我们都有办法为客户提供专业协助。

您永远不知道调查会将您引向何方，但我们在这篇文章中讨论的故事却很特别。在检测和反编译一个可疑的 Python 脚本后，我们发现了不可思议的事情：一家金融机构的明文域用户凭据。对于拥有这种访问权限的攻击者来说，简直可以为所欲为，尤其是在金融机构里。（不过别担心，这个故事的结局是美好的。）

人为因素被认为是企业面临的最大网络安全威胁。在这篇博文中，我们将讨论我们的调查和发现，并为其他安全专业人员提供一些额外的指导。

我们发现该文件是一个 PyInstaller 打包的二进制文件。我们对二进制文件进行了反编译，得到了 Python 源代码，并对其进行了手动检查。

现在我们知道了我们在处理什么，我们可以开始调查该文件了。我们检查了该文件建立的连接、执行该文件的用户、攻击者可能下载的其他可疑文件，以及围绕可疑资产的更多检测方法。

该文件与许多关联了第三方提供商的设备进行了通信，这引起了我们的注意，因为这表明第三方设备在一定程度上认为该文件是合法的。由于在 VirusTotal 中，有大量防病毒引擎认为该脚本是有害的，这让人深感忧虑。

我们使用 pycdc 对文件进行了反编译，乍一看，它似乎是一个普通的 IT 文件。但事实并非如此，经证明，该脚本是一个执行以下三个步骤的备份脚本：

1. 脚本读取 IP 地址列表 

2. 它连接到每个 IP

3. 它备份配置和版本

在安全领域，我们很少有机会讲述开心的故事，但值得庆幸的是，这个故事的结局是美好的。Hunt 团队在 24 小时内发现、修复并通报了这一情况。当您在互联网上发现明文凭据时，最好迅速采取行动以避免引发灾难性的后果。

与客户联系后，我们提供了一些建议的抵御措施：

• 更改暴露的用户的密码以及该文件访问的受影响设备上的用户密码

• 为此类活动部署管理系统

• 提高安全意识——不要安装不受信任的软件，因为隐私数据可能遭到窃取

客户积极做出回应，并迅速补救。

人为错误和开发人员安全性是网络安全领域极热门的两个话题，而这个故事正是这两个话题的典型例子。我们完全有理由认为，这种情况可能在相当长的一段时间内都不会被发现，而这已经是最好的情况了。另一种情况则可能是灾难性的：就算您不是《权力的游戏》的粉丝，您也能想象一个非法实体能造成多大的破坏（尤其是在金融机构中拥有高权限的实体）。

身为主动威胁搜寻人员，Akamai Hunt 团队将继续分析并发布我们观察到的真实情况（比如本案例），以帮助广大安全社区。