聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
凭证填充攻击造成的问题越来越多,尤其是在金融行业更是如此。僵尸网络能够触发数量非常庞大的欺诈登录尝试,造成 DDoS 攻击的后果。
这种攻击使用编译自数据泄露事件的用户名和密码组合试图登录多家网络服务。攻击的成功在于用户一般在多个账户使用相同的密码。网络犯罪分子将这些攻击自动化并使用僵尸网络在受攻陷系统之间传播登录活动。最终的目标是登录至目标站点并假设账户所有人的身份窃取钱财或收集信息。
数十亿恶意登录尝试
某家 DDoS 缓解服务的公司出具数据令人吃惊:在从2017年11月至2018年6月不到一年的时间里,恶意登录尝试的次数超过300亿次。在此期间的最后两个月内,僵尸生成约83亿次登录通过被盗凭证签名。
Akamai 公司在最新发布的《互联网状态》报告中描述了针对金融行业两家公司的凭证填充攻击,其中一家公司同时遭三个僵尸网络的攻击。
三个僵尸网络,不同的攻击方式
在第一个案例中,攻击者导致北美的一家大规模信用合作社的网络流量大幅增加。
在一周的时间里,Akamai 注意到来自1750家互联网服务提供商的2万个 IP 地址的315,178 欺诈性登录尝试。攻击中观测到4382个不同的用户代理。
运行凭证填充攻击的首个僵尸网络占恶意登录尝试总数的三分之一 (94,2296)。Akamai 将其归类为“愚蠢的僵尸网络”,因为它的流量源自两个 IP 地址,而且所有要求都具有相同的用户代理,使得其易于被找到且阻止。
第二个僵尸网络较复杂,从1万个不同的 IP 地址发送流量并使用了695个用户代理。报告指出,在三天的时间里,它平均每秒提出59个请求并且做出190,487个恶意登录尝试。
第三个僵尸网络是最难防御的,因为它采用“低下而缓慢的”方式,没两分钟内只有一次恶意登录尝试,一周的恶意登录尝试共有5286次。它使用了188个唯一的用户代理以及1500个IP 地址。
这个僵尸网络频率低下的活动导致其难以发现,从而使得攻击者能够在更长的时间里实施攻击。
嘈杂的僵尸网络过度使用用户代理
第二个遭凭证填充攻击的组织机构也是一家金融服务。其正常的流量情况是在六天的时间里记录700万次合法登录,但当僵尸网络活动开启时,欺诈登录的次数超过850万次,多数持续发生的时间超过48小时。
Akamai 公司表示三分之一的流量源自越南和美国。僵尸网络的总规模是4933个互联网服务提供商的 IP 地址的2万个端点。
这些欺诈性活动表明,95%的流量似乎来自同一类型设备即三星 Galaxy SM-G531H 智能手机,使得恶意请求更加容易被识别并阻止。
由于自动化攻击服务的可获得性,凭证填充攻击易于策划。主要要求是拥有足够大的由用户名和被破解密码组成的数据可可以填充到多中服务的登录字段中。由于数据泄露事件经常发生,而且用户倾向于重复使用密码,因此这个条件很容易满足。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/credential-stuffing-attacks-generate-billions-of-login-attempts/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。