本文講的是 撞庫:2017年的大麻煩,每擁有100萬的失竊憑證,黑客們可以使用Sentry MBA等類似工具大規模入侵目标網站上的賬戶。而根據Shape Security釋出的2017憑證洩露報告,2016年共計有33億使用者憑證洩露。
憑證竊取是指攻擊者破壞系統、竊取使用者的通路憑證(通常是ID和密碼的組合)。其中ID往往是使用者的電子郵件位址。憑據洩露則意味着這些憑證被提供給了其他攻擊者。憑據填充(俗稱“撞庫”)則是大規模使用自動化測試來驗證被盜密碼是否能用于其他無關聯網站。
撞庫之是以可行,歸根結底是因為使用者往往在多個賬戶上使用同樣的幾組密碼。這就導緻一旦攻擊者擷取了一個賬戶的密碼,他們也就有了很可能适用于其他賬戶的合法憑證。
想想2016年雅虎發生的兩次洩露事件,總共15億被脆弱的MD5加密算法保護的憑證洩漏到網際網路。發生在2012年、2013年的憑證盜竊,使攻擊者有四年時間來破解這種脆弱的保護。這類事件意味着罪犯已經儲備了大批合法的使用者憑證,而使用者的多賬号同密碼現象意味着這些憑證大部分都已經被被用于其他賬戶。
Shape Security的報告指出:“憑證盜竊規模如此之大,而雅虎使用者又這麼廣泛,這意味着過去幾年裡這些被盜憑證助長了不計其數的網絡犯罪。”
使用被洩露密碼進行簡易暴力測試是很容易被發現并阻止的,許多站點會嘗試阻斷同一IP對不同賬戶的多次登入嘗試或同一賬戶的多次失敗登入請求。
而“憑據填充”則很不一樣。 Shape Security 創始人蘇米特·阿加瓦爾在五角大樓擔任國防部長代理助手時發明了這個詞。這種攻擊手段結合了憑證源、Sentry MBA等工具和僵屍網絡的分工方式。 Sentry MBA周期性地通過僵屍網絡檢驗洩漏的憑證是否對目标網站有效。
因為僵屍網絡的每個IP每次隻檢驗一個憑證,無論登入嘗試是否成功,作為滲透目标的網站會将這其視為使用者的正常登入嘗試。即使攻擊受到懷疑,Sentry MBA已經切到下一個僵屍網絡IP,完全不受到網站阻止可疑IP登入等安全政策的影響。
Sentry MBA 提供了擊敗其他防禦的各種技術手段,比如内置光學字元識别功能來對抗驗證碼。
Shape Security的資料表明,憑證填充的破解成功率為為0.1%~2%。這意味着攻擊者每嘗試100萬個被洩露的憑證,就可以發現平均1萬個因密碼複用的而導緻登陸資訊洩露的賬戶。
憑據填充并不神秘,事實上,它正被廣泛的使用。舉例而言,根據Shape Security的報告,“攻擊者們鎖定了一個财富100強的B2C(企業對消費者)網站,并在一個星期内使用多組攻擊以及遍布世界各地的成千上萬個代理進行了超過五百萬次登入嘗試。”另一個案例則是“有一天,一個大型零售網站發現了使用1000多個代理進行的超過10000登入嘗試”。
雪上加霜的是,被竊取的憑證也并不難找。黑客們會為了找樂子或揚名立萬把憑證散播到網上。當黑客們在憑證黑市(比如Cracking-dot-org、 Crackingking-dot-org以及 Crackingseal-dot-io)做生意時,這些名聲會派上大用場。
上述種種隻會導緻一種結果:憑證填充簡易而且有效,而隻要有一點起碼的技術底子,誰都可以使用它。憑證填充包含五步:
擷取被竊憑證;
選擇目标;
編寫一個自動腳本來辨識登入嘗試是否成功;
用一個可配置的憑證填充工具(比如Sentry MBA)來繞開網站的WAF或驗證碼;
将賬戶和贓物收入囊中。
據Shape Security預測,由于2016年被洩露的33億(很可能有更多我們尚不知道的)憑證在網絡犯罪體系中廣泛傳播,憑證填充無疑會成為2017年的重大威脅。有一個簡單的辦法可以一勞永逸地解決問題:使用者在配置密碼時絕不能與任一現有密碼重複。而這一目标顯然超出企業和安全行業能力之外。是以,企業必須另尋佳徑來應對這一日益嚴重的威脅。
原文釋出時間為: 二月 4, 2017
本文作者:Alfred.N
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛