凭据填充101 这些攻击是如何工作的,为什么它们持续存在,以及你能做些什么来防止它们 。 Introduction 之处 什么是凭证填充?是什么使得凭证填充成为可能?凭证填充的构成操作对凭证填充的影响防范措施结论SpyCloud的独特 凭证填充的目标目的是尽可能获取用户的账号权限,接管这些账号,并实施欺诈行为。 Introduction 2020年初,攻击者入侵了超过16万人任天堂帐户。大约在同一时间,大约500,000Zoom用户的登录凭证在暗网上被分享。动视、TheNorthFace和万豪国际等公司的大量客户数据落入了不法分子之手,这一事件引起了广泛关注。对于万豪国际而言,这次520万个账户信息泄露尤其令人痛心,因为公司在2018年曾遭受过一次重大数据泄露,超过3亿个客户账户的信息被盗用。 由于疫情期间大量人员居家,广受欢迎的消费服务面临着高需求。这些情况下,它们不可避免地遭遇了增加的安全威胁。在许多案例中,各组织迅速坚称其系统未被侵犯。但用户的账户,有时连同他们的财务信息,实际上已被侵入。 而非试图进入企业基础设施,攻击者采取了更为简单的方式。肆意重用密码使他们能够直接登录数十万用户的账户,自动化犯罪软件起到了辅助作用。以任天堂为例,SpyCloud研究人员发现了一个专门定制的账号检查工具的源代码,该工具旨在帮助犯罪分子测试盗取的凭证与Nintendo登录进行匹配,允许攻击者访问客户账户并利用保存的支付方式购买游戏内货币。 这些攻击背后的网络犯罪软件可能高度复杂,但攻击方法——被称为“凭证填充”——却令人沮丧地普遍。更让人挫败的是,谁的责任来阻止这类攻击的问题。 什么是凭证填充? 凭证填充指的是将大量被盗取的凭证组套用于目标应用程序或网页界面的行为。从数据泄露中获取的受损凭证被用来构建“字典”或“组合列表”。这些凭证在犯罪网络内交易和出售,随后用于凭证填充操作。实际上,只要公司持续遭受攻击,这些列表就会不断变得更为有效。 凭证填充攻击的关键组成部分之一,组合列表是一份包含先前泄露的凭证的列表,这些凭证被加载到自动化暴力破解工具中,一次测试这些凭证针对成千上万个网站。这些工具可以检查常见的密码变体。 随着每一次网络安全事件的发生,受害组织都会承诺找出罪犯并确保消费者保护。这一策略存在缺陷,因为我们,作为消费者,正是问题的一部分。通过分析所有的泄露数据,SpyCloud发现... 对于那些遭受两次或以上泄露的用户中,有57%的人会在多个账户上重复使用相同的密码(或轻微变化的密码)。因此,攻击者很容易利用组合列表解锁许多账号。 暗网中可获取的庞大被盗凭证与自动化相结合,使得这些攻击具备了可扩展性且相对简单明了。利用现成的恶意软件,即便是经验不足的网络犯罪分子也能将(或“填充”)数百万个被攻破的凭证一次性注入到任意数量网站的登录页面中。 目标是通过获取尽可能多的用户账户的未经授权访问,接管这些账户,并进行欺诈性活动,以实现凭证填充(credentialstuffing)。账户接管(AccountTakeover,简称ATO)允许攻击者从银行账户中盗取资金、进行大额购买、窃取身份,或者结合真实和虚假信息创建新的“合成”身份。2020年的SolarWinds供应链攻击提供了最坏情况设想:一个攻击者通过提升用户权限以在组织网络中获得立足点,并执行严重、长期且代价高昂的攻击。 InSpyCloud的2021年年度凭证曝光报告我们强调了企业区分消费者账户被访问是否由于内部资源泄露还是通过凭证填充行为的重要性。 违规行为源自公司未能保护其资产,并通常具有监管影响,而凭证填充则通常是消费者密码卫生不良的结果。 但组织对用户密码选择应承担多少责任呢?随着品牌损害和客户信任流失等后果的出现,越来越多的企业采取主动的安全策略——在第三方泄露事件(并非其自身网站,而是其他完全不同的网站)中提醒客户其凭证被盗用时,因为密码通常会在多个账户之间重复使用。一个服务的泄露可能会对其他业务产生连锁反应,尤其是在涉及到凭证填充的情况下。 什么使凭据填充成为可能? 密码重复使用 平均而言,人们预计会跟踪周围的 123456密码12345678qwerty123456789123451234 1111111234567龙123123棒球abc123 足球猴子letmein696969影子大师666666 qwertyuiop123321野马1234567890迈克尔654321 超人1qaz2wsx7777777f*#kyou121212000000qazwsx 123qwe杀手trustno1jordanjenniferzxcvbnmasdfgh 猎人克星足球哈雷蝙蝠侠安德鲁tigger阳光iloveyouf*#kme2000charlierobert 霍姆斯曲棍球护林员丹尼尔·斯塔瓦尔·克拉斯特112233乔治混蛋电脑米歇尔杰西卡胡椒1111 zxcvbn55555511111111131313自由777777通行证 f*#kmaggie159753aaaaa姜公主约书亚 奶酪阿曼达夏季爱阿什利6969妮可 切尔西bitemematthewaccess洋基队987654321达拉斯 奥斯汀雷霆泰勒矩阵威廉克尔维特你好 马丁希瑟的秘密:f*#ker梅林钻石 1234qwergfhjkm锤子银22222288888888 测试100,000个密码 安东尼·贾斯汀测试baileyq1w2e3r4t5帕特里克 橙色互联网滑板车11111高尔夫球手饼干 理查德·萨曼莎大狗吉他杰克逊无论米奇 鸡肉火花史努比maverick凤凰camaro性感花生摩根欢迎猎鹰牛仔法拉利 三星andreasmokeySteelers约瑟夫梅塞德斯达科塔阿森纳老鹰梅利莎婴儿潮布波蜘蛛纳斯卡 怪物老虎黄色xxxxxx123123123网关码头 暗黑暗黑斗牛犬qwer1234康柏紫色铁杆香蕉 初级汉娜123654保时捷湖人冰人钱: 伦敦牛仔987654网球999999ncc1701咖啡 史酷比0000米勒波士顿q1w2e3r4f*#koff雅马哈切斯特母亲永远约翰尼爱德华333333奥利弗 红袜球员尼基塔巴尼骑士挡泥板请 白兰地芝加哥坏男孩伊万图杀手护林员黄油 哈尔斯天使花大爸爸兔子巫师塔克 bigdickjasper进入瑞秋·克里斯·史蒂文获胜者阿迪达斯维多利亚娜塔莎茉莉冬季王子zzzzzz 海洋ghbdtn内裤捕鱼古柯科拉卡斯珀詹姆斯 232323攻略888888万宝路甘道夫asdfsdf654321 12344321性别黄金bblme8675309劳伦·安吉拉母狗屁股thx1138天使麦迪逊迈克丰田 口交jordan23加拿大苏菲密码苹果老虎razz123abc口袋妖怪qazxsw55555qwaszx159357 成功约翰逊墨菲库珀乔纳森covid1 70-100个密码。对SpyCloud数据库的分析显示,密码的总重用率为57%,并且60%密码重复使用率对于2020年收集的违规行为。问题只会变得更糟。 巨大的突破 2005年首次数据泄露一百万条记录,这在当时令人震惊。它们一直在扩大;八年之后,雅虎的数据泄露事件揭露了一个惊人的事实。30亿条记录如今,漏洞导致数千万个凭证暴露的情况并不少见。这些用户名+密码组合构成了组合列表的基础,这是凭证填充攻击的关键组成部分。 自动化+低准入门槛 凭证填充是一场数字游戏——而且是一个有利可图的游戏。得益于自动化,即便是小规模的犯罪者也能以低于的成本测试10万个凭证。$200。典型的成功率很低,在1-2%之间,这意味着攻击者可以从100k凭证对开始的单次攻击中获取多达4,000个有效帐户。 检测迟缓 组织识别和遏制违规行为的平均时间为280days这给了攻击者一个大窗口来滥用被盗凭证。 凭证填料攻击的解剖学 犯罪分子并未实际上手动在多个网站上输入成千上万的凭证。此外,网络服务已设置了限制以阻止单一IP地址来源的大批量活动 。如果必须手动执行凭证填充攻击,则它们既不可行也无利可图,因此自动化是关键。 自动凭证填充工具在恶意平台上以相对较低的成本可获取这些商品。许多攻击者并非自行编写自动化脚本,而是使用所谓的“账户检查器”工具。这些工具使得攻击者能够轻松地输入一大串被盗取的用户名和密码组合,并对目标网站进行测试。 COMBOLISSTSCRIMINAL PROXY 信用检验 SmartGenPlus Shopabou tech.pro□ 工具 犯罪的典型凭证填充场景是这样的: 购买组合列表 服务器目标 过去,熟练的攻击者需要入侵网站以窃取凭证。但现在,暗网上已经存在如此多有效的凭证,即使是不熟练的攻击者也能轻松获取它们。犯罪分子只需花费最低2美元,便可在地下市场上购买包含多个数据泄露信息组合的列表。 伪装起来 为了成功实施,凭证填充攻击必须模拟目标网站上的常规网络流量。短时间内从单一IP地址发出数百万登录请求会引发防御者的警觉。为了避免这种情况,攻击者可以寻求IP代理服务提供商的帮助,利用机器人将登录请求分散到成千上万个IP地址上,从而掩盖可疑的攻击行为。 加载列表和分析帐户 公共资源使犯罪分子能够迅速下载一个工具,该工具可以将组合列表与流行的商业网站进行比较。犯罪分子可以将组合列表加载到工具中,并通过勾选每个站点的框来简单选择特定的站点,或者一次对数百个站点运行工具。犯罪分子甚至可以自定义配置凭据填充工具,以查找具有特定现金、积分和/或虚拟货币余额的账户 。当匹配时,他们可以看到被侵犯账户背后的账户余额,并提前确定是否可以访问目标账户。 发射攻击 攻击者的目的是揭示所有成功的登录请求。随着工具对提供的凭证进行处理,攻击者会收到有效的凭证通知。从技术上讲,当攻击者收到这些结果时,攻击本身就已经完成。但仅仅获得一个有效凭证列表并不是攻击者的最终目标。 开始ATO 拥有目标网站验证后的凭证列表,攻击者将转向获取收益。他们如何实现这一目标取决于其目的以及所攻击的网站类型。目标是榨干账户的价值,因此他们可能会通过欺诈性的银行交易窃取资金、在电子商务网站上进行大额购买、利用信用卡进行现金预支,或者以现金或商品的形式出售礼品或奖励卡。更高级的攻击者会使用合法账户深入访问受害者的网络,提升权限以执行更为恶毒的行为,如关闭基础设施或窃取公司信息及商业机密。 凭证填充的影响 根据《私营行业通知》发布的FBI去年, 在2017年至2020年期间,凭证填充占美国金融部门安全事件的41%。 不包括与欺诈相关的成本,凭证填充成本平均影响企业$600万每年。 不论您的行业如何,凭证填充(credentialstuffing)都是一个对所有领域都公平对待的罪犯,并且其影响是实实在在的。在2020年,一家中等规模的美国金融机构将大量登录尝试行为与各种凭证组合联系起来,超过了$350万在欺诈交易中。即使没有实际的欺诈行为发生,填充凭据仍会产生影响。从2019年6月至2020年1月,一家位于纽约的投资公司就遭遇了此类问题。凭证填充攻击针对他们的移动API,导致系统中断,阻止了近200万美元的收入收集。 撇开欺诈损失不谈,这些报告并未提及可能产生的法律成本和监管罚款,更不用说品牌声誉和客户信任的损失。几乎50%的消费者根据CATechnologies的一项调查,有...%的人表示他们停止使用某公司的服务是因为数据泄露-现在,数据泄露和凭证填充攻击...感知几乎是一样的。 60% 预防措施 如同钓鱼攻击或下载的恶意软件一样,凭证填充依赖于每个组织中的薄弱环节——人。任何针对凭证填充的预防措施都必须从人员及其密码开始。 加强密码 使用强制实施强密码策略NIST指南特别是在这方面,应禁止使用常见密码,包括已知在数据泄露 的用户在多个帐户中重复使用至 少一个密码根据S pyCloud的2021年年度凭证曝光报告 中出现过的密码。对于员工而