2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號:
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請將#換成@)
憑證填充攻擊是當(dāng)今各地在線企業(yè)面臨的最普遍的威脅之一。但是,盡管這一威脅在信息安全社區(qū)的每個(gè)人的雷達(dá)上都有所上升,但對于犯罪集團(tuán)如何進(jìn)行這些攻擊卻知之甚少。憑證填充是網(wǎng)絡(luò)安全行業(yè)用來描述針對網(wǎng)站或應(yīng)用程序的登錄系統(tǒng)的特定類型的自動攻擊的術(shù)語。它依賴于黑客采用的用戶名 - 密碼組合,這些組合已經(jīng)通過其他公司的數(shù)據(jù)泄露泄露,并試圖使用這些泄露的憑據(jù),希望能夠訪問其他網(wǎng)站上的帳戶 - 利用用戶重用用戶名和密碼的習(xí)慣跨多個(gè)在線服務(wù)。
憑借在LinkedIn,VK.com,Tumblr,Twitter和許多其他主要平臺遭遇黑客攻擊后,自2016年以來發(fā)生的巨大用戶憑據(jù)泄密,憑證填充是一種相對較新的攻擊媒介。
2016年,數(shù)以億計(jì)的用戶名和密碼憑證在網(wǎng)上被丟棄,此后其他泄密事件也不斷出現(xiàn),為犯罪團(tuán)伙提供新鮮的炮灰用于攻擊。
黑客和工具
要執(zhí)行憑據(jù)填充攻擊,黑客組只需要三件事:泄露的憑據(jù),軟件應(yīng)用程序和代理。
泄露的憑證不是問題。這些數(shù)據(jù)大部分已經(jīng)在公共領(lǐng)域提供,或者可以在黑客論壇和黑暗網(wǎng)絡(luò)市場上銷售。
解析舊憑據(jù)列表并在遠(yuǎn)程網(wǎng)站上自動執(zhí)行登錄操作的軟件應(yīng)用程序也不是問題。事實(shí)上,根據(jù)未來的Recorded報(bào)告,黑客團(tuán)體可以在線購買至少六種此類工具,其中包括STORM,Black Bullet,Private Keeper,SNIPR,Sentry MBA和WOXY等。
這些工具都很便宜,而且它們很少以超過50美元的價(jià)格出售。有些設(shè)計(jì)用于一次檢查一個(gè)帳戶(但已經(jīng)過修改以進(jìn)行憑證批量檢查),而其他設(shè)計(jì)則是從頭開始構(gòu)建或重建的,其中包括憑證填充 - 例如SNIPR和Sentry MBA。
在過去二十年中,技術(shù)世界花費(fèi)了大量時(shí)間專注于創(chuàng)新,安全性往往是事后的想法。了解它最終如何以及為何變化。
但是如果在沒有代理的面紗的情況下使用這些工具將會毫無用處,這些代理可以承受大量的登錄請求并將其傳播到數(shù)十萬個(gè)IP地址。
如果黑客使用來自單個(gè)IP地址的任何這些工具,則在幾次嘗試失敗后,在線提供商(或Web防火墻產(chǎn)品)會將該IP列入黑名單。因此,使用任何這些工具的代理是必須的。
掌握一批代理并不是很困難。事實(shí)上,它可能是黑客可以獲得的三個(gè)主要工具中最容易的。他們不斷在黑客論壇,XMPP垃圾郵件,黑暗網(wǎng)絡(luò)或封閉的網(wǎng)絡(luò)犯罪論壇上做廣告,已經(jīng)多年。
它們也非常便宜,并提供多種配置和選項(xiàng)。其中一些是被黑客入侵的服務(wù)器,一些是受惡意軟件感染的移動和桌面設(shè)備,有些是家用路由器和物聯(lián)網(wǎng)設(shè)備。
ZDNet已經(jīng)了解到,黑客將使用他們可以獲得的代理服務(wù),但是目前絕大多數(shù)憑證填充攻擊都是通過物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)進(jìn)行的。
TheMoon和Linux.ProxyM是兩個(gè)僵尸網(wǎng)絡(luò)的名稱,這些僵尸網(wǎng)絡(luò)被指責(zé)通過他們感染的物聯(lián)網(wǎng)設(shè)備和路由器來轉(zhuǎn)發(fā)憑據(jù)填充攻擊。
兩家美國互聯(lián)網(wǎng)服務(wù)提供商告訴ZDNet他們已經(jīng)看到他們自己的客戶內(nèi)部部署(CPE)路由器參與憑證填充攻擊。
第一家互聯(lián)網(wǎng)服務(wù)提供商CenturyLink在1月份的一次采訪中向ZDNet證實(shí),自2018年以來,TheMoon一直在進(jìn)行憑證填充攻擊。
“我們在未來幾個(gè)月見證了多個(gè)憑證填充受害者,”CenturyLink威脅研究和運(yùn)營部門Black Lotus Labs負(fù)責(zé)人Mike Benjamin告訴我們。“雖然我們希望避免命名受害者,但描述其中一些可能有助于了解這些攻擊的性質(zhì):銀行,在線零售商,餐館連鎖店,視頻流媒體服務(wù)。”
填寫“經(jīng)濟(jì)”的憑證
黑客團(tuán)體之所以進(jìn)行此類攻擊,是因?yàn)樗麄兛梢酝ㄟ^劫持真實(shí)用戶的帳戶賺錢,他們后來在黑客論壇或?qū)iT銷售黑客數(shù)據(jù)的在線商店上出售。
圖像:記錄的未來
其他犯罪集團(tuán)購買這些帳戶并將其重新用于各種目的。例如,“破解”的Netflix賬戶作為Netflix盜版服務(wù)的一部分被重新出售;“破解”的PayPal資料被出售給所有資金賬戶的錢騾;雖然“破解”亞馬遜帳戶用于使用已附加到用戶個(gè)人資料的支付卡詳細(xì)信息來下達(dá)欺詐性訂單。
如果黑客或欺詐者有任何方式濫用用戶的帳戶,那么該公司可能會在某個(gè)時(shí)刻面臨憑據(jù)填充攻擊。
黑客團(tuán)體已經(jīng)針對各種帳戶發(fā)起了憑據(jù)攻擊,無論他們是一個(gè)小型的媽媽和流行商店,還是Alexa Top 100門戶網(wǎng)站。
廣告攔截AdGuard,銀行巨頭匯豐銀行,社交媒體網(wǎng)站Reddit,視頻分享門戶網(wǎng)站DailyMotion,交付服務(wù)Deliveroo,企業(yè)工具Basecamp,餐飲連鎖店Dunkin'Donuts以及稅務(wù)申報(bào)服務(wù)TurboTax等公司都公開承認(rèn)在憑證的接收端填充攻擊,黑客可以訪問某些帳戶。
定位不僅僅是公共網(wǎng)站
此外,黑客組織也在使用這些攻擊來訪問甚至沒有龐大用戶群的私人網(wǎng)站。例如,憑證填充攻擊也針對WordPress站點(diǎn),其中一些甚至不允許用戶注冊。盡管如此,黑客正在使用憑證填充來嘗試猜測管理員帳戶的密碼,因此他們可以接管該網(wǎng)站并在其他惡意軟件分發(fā)活動中使用它。
同樣,針對RDP,Telnet和SSH端點(diǎn)的證書填充攻擊也表明,服務(wù)器和普通工作站可以像網(wǎng)站一樣被定位。
雖然沒有公司承認(rèn)過以這種方式被黑客入侵,但企業(yè)內(nèi)部網(wǎng)或任何其他企業(yè)應(yīng)用程序也容易受到這些類型的攻擊。
據(jù)認(rèn)為,憑證填充操作每年會產(chǎn)生數(shù)百億次登錄嘗試,這是公司不應(yīng)忽視的威脅,尤其是那些活躍在金融,零售和多媒體領(lǐng)域的人,根據(jù)Akamai的說法,這些領(lǐng)域已被定位。比其他垂直更多。
公司可以阻止憑證填充攻擊的方式非常簡單,涉及部署雙因素身份驗(yàn)證以為用戶帳戶添加額外的安全層。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ 備案號:
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
郵箱:toplearningteam#gmail.com (請將#換成@)