聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
凭证填充攻击是当前网络企业面临的最普遍的威胁之一。
尽管如此普遍,但我们对犯罪组织如何执行这些攻击的情况却所知甚少。
什么是凭证填充攻击
网络安全行业通过“填充攻击”这一术语来说明针对某网站或应用程序登录系统的一种自动化攻击。黑客试图利用被泄露数据中的用户名和密码组合获取对其它网站上账户的访问权限,利用的是用户习惯在多家网络服务中复用用户名和密码的做法。
凭证填充攻击是一种相对新型的攻击向量,不过因为自201年起的大规模用户凭证泄露事件而变火。2016年,LinkedIn、VK.com、Tumblr、Twitter 和其它很多大型平台都遭受数据泄露事件。
2016年,数亿份用户名和密码凭证遭泄露,且自此以后数据泄露事件层出不穷,不断地为犯罪分子提供新鲜的弹药补给。
黑客及其工具
要执行凭证填充攻击,黑客组织仅需要三样东西:被泄凭证、一款软件应用和代理。
被泄凭证很容易获取,要不已经可从公共域名中获取,要么可从黑客论坛和暗网 web 市场上购买。而负责解析老旧凭证列表并自动化远程网站上登录操作的软件 app 也容易获取。实际上,黑客组织可从网上至少可购买到六种这类工具,包括 STORM、Black Bullet、Private Keeper、SNIPR、Sentry MBA 和 WOXY 等。
这些工具的价格很低,不超过50美元。某些工具仅供一次性查看某个账户(不过已被修改为凭证批量检查),而其它黑客组织已经可以从零开始构建或重构工具,如 SNIPR 和 Sentry MBA 即是这种工具。
代理僵尸网络
但如果不使用代理,则这些工具毫无用处。代理利用大量登录请求并将其传播至数十万个 IP 地址。如果黑客使用了来自单个 IP 地址的这些工具,那么网络提供商(或 web 防火墙产品)将会在错误尝试达到上限后将 IP 封掉。鉴于此,必须使用代理。
批量获取代理并不十分困难。实际上,代理可能是这三种工具中最容易被获取的。黑客论坛上、XMPP 垃圾邮件、暗网上或不对外开放的网络犯罪论坛上的代理广告随处可见。
代理还极其便宜,可在多种配置和选项中使用。它们有的是被黑的服务器,有的是遭恶意软件感染的移动设备和桌面设备,而有些是家庭路由器和物联网设备。
原文链接
https://www.zdnet.com/article/an-inside-look-at-how-credential-stuffing-operations-work/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。