安全動(dòng)態(tài)

撞庫(kù):2017年的大麻煩

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-02-06    瀏覽次數(shù):
 

信息來(lái)源:安全牛

每擁有100萬(wàn)的失竊憑證,黑客們可以使用Sentry MBA等類似工具大規(guī)模入侵目標(biāo)網(wǎng)站上的賬戶。而根據(jù)Shape Security發(fā)布的2017憑證泄露報(bào)告,2016年共計(jì)有33億用戶憑證泄露。

credential-spill-report-cover-450

憑證竊取是指攻擊者破壞系統(tǒng)、竊取用戶的訪問(wèn)憑證(通常是ID和口令的組合)。其中ID往往是用戶的電子郵件地址。憑據(jù)泄露則意味著這些憑證被提供給了其他攻擊者。憑據(jù)填充(俗稱“撞庫(kù)”)則是大規(guī)模使用自動(dòng)化測(cè)試來(lái)驗(yàn)證被盜密碼是否能用于其他無(wú)關(guān)聯(lián)網(wǎng)站。

撞庫(kù)之所以可行,歸根結(jié)底是因?yàn)橛脩敉诙鄠€(gè)賬戶上使用同樣的幾組口令。這就導(dǎo)致一旦攻擊者獲取了一個(gè)賬戶的口令,他們也就有了很可能適用于其他賬戶的合法憑證。

想想2016年雅虎發(fā)生的兩次泄露事件,總共15億被脆弱的MD5加密算法保護(hù)的憑證泄漏到互聯(lián)網(wǎng)。發(fā)生在2012年、2013年的憑證盜竊,使攻擊者有四年時(shí)間來(lái)破解這種脆弱的保護(hù)。這類事件意味著罪犯已經(jīng)儲(chǔ)備了大批合法的用戶憑證,而用戶的多賬號(hào)同口令現(xiàn)象意味著這些憑證大部分都已經(jīng)被被用于其他賬戶。

Shape Security的報(bào)告指出:“憑證盜竊規(guī)模如此之大,而雅虎用戶又這么廣泛,這意味著過(guò)去幾年里這些被盜憑證助長(zhǎng)了不計(jì)其數(shù)的網(wǎng)絡(luò)犯罪。”

使用被泄露口令進(jìn)行簡(jiǎn)易暴力測(cè)試是很容易被發(fā)現(xiàn)并阻止的,許多站點(diǎn)會(huì)嘗試阻斷同一IP對(duì)不同賬戶的多次登錄嘗試或同一賬戶的多次失敗登錄請(qǐng)求。

而“憑據(jù)填充”則很不一樣。 Shape Security 創(chuàng)始人蘇米特·阿加瓦爾在五角大樓擔(dān)任國(guó)防部長(zhǎng)代理助手時(shí)發(fā)明了這個(gè)詞。這種攻擊手段結(jié)合了憑證源、Sentry MBA等工具和僵尸網(wǎng)絡(luò)的分工方式。 Sentry MBA周期性地通過(guò)僵尸網(wǎng)絡(luò)檢驗(yàn)泄漏的憑證是否對(duì)目標(biāo)網(wǎng)站有效。

因?yàn)榻┦W(wǎng)絡(luò)的每個(gè)IP每次只檢驗(yàn)一個(gè)憑證,無(wú)論登錄嘗試是否成功,作為滲透目標(biāo)的網(wǎng)站會(huì)將這其視為用戶的正常登錄嘗試。即使攻擊受到懷疑,Sentry MBA已經(jīng)切到下一個(gè)僵尸網(wǎng)絡(luò)IP,完全不受到網(wǎng)站阻止可疑IP登錄等安全策略的影響。

Sentry MBA 提供了擊敗其他防御的各種技術(shù)手段,比如內(nèi)置光學(xué)字符識(shí)別功能來(lái)對(duì)抗驗(yàn)證碼。

Shape Security的數(shù)據(jù)表明,憑證填充的破解成功率為為0.1%~2%。這意味著攻擊者每嘗試100萬(wàn)個(gè)被泄露的憑證,就可以發(fā)現(xiàn)平均1萬(wàn)個(gè)因口令復(fù)用的而導(dǎo)致登陸信息泄露的賬戶。

92d04-credential2bstuffing2baccount2btakeover2bato2bimage2bfiverr_f

憑據(jù)填充并不神秘,事實(shí)上,它正被廣泛的使用。舉例而言,根據(jù)Shape Security的報(bào)告,“攻擊者們鎖定了一個(gè)財(cái)富100強(qiáng)的B2C(企業(yè)對(duì)消費(fèi)者)網(wǎng)站,并在一個(gè)星期內(nèi)使用多組攻擊以及遍布世界各地的成千上萬(wàn)個(gè)代理進(jìn)行了超過(guò)五百萬(wàn)次登錄嘗試。”另一個(gè)案例則是“有一天,一個(gè)大型零售網(wǎng)站發(fā)現(xiàn)了使用1000多個(gè)代理進(jìn)行的超過(guò)10000登錄嘗試”。

雪上加霜的是,被竊取的憑證也并不難找。黑客們會(huì)為了找樂(lè)子或揚(yáng)名立萬(wàn)把憑證散播到網(wǎng)上。當(dāng)黑客們?cè)趹{證黑市(比如Cracking-dot-org、 Crackingking-dot-org以及 Crackingseal-dot-io)做生意時(shí),這些名聲會(huì)派上大用場(chǎng)。

上述種種只會(huì)導(dǎo)致一種結(jié)果:憑證填充簡(jiǎn)易而且有效,而只要有一點(diǎn)起碼的技術(shù)底子,誰(shuí)都可以使用它。憑證填充包含五步:

  1. 獲取被竊憑證;
  2. 選擇目標(biāo);
  3. 編寫(xiě)一個(gè)自動(dòng)腳本來(lái)辨別登錄嘗試是否成功;
  4. 用一個(gè)可配置的憑證填充工具(比如Sentry MBA)來(lái)繞開(kāi)網(wǎng)站的WAF或驗(yàn)證碼;
  5. 將賬戶和贓物收入囊中。

據(jù)Shape Security預(yù)測(cè),由于2016年被泄露的33億(很可能有更多我們尚不知道的)憑證在網(wǎng)絡(luò)犯罪體系中廣泛傳播,憑證填充無(wú)疑會(huì)成為2017年的重大威脅。有一個(gè)簡(jiǎn)單的辦法可以一勞永逸地解決問(wèn)題:用戶在配置口令時(shí)絕不能與任一現(xiàn)有口令重復(fù)。而這一目標(biāo)顯然超出企業(yè)和安全行業(yè)能力之外。因此,企業(yè)必須另尋佳徑來(lái)應(yīng)對(duì)這一日益嚴(yán)重的威脅。

 
 

上一篇:惠普收購(gòu)行為安全分析公司 Niara,布局物聯(lián)網(wǎng)網(wǎng)絡(luò)安全

下一篇:2017年02月06日 聚銘安全速遞