登录凭据是当今所有在线服务的门户,因为它们有助于识别屏幕后面的人,保护您的敏感信息免受任何恶意者的侵害。尽管目前可以采取多种预防措施,但撞库仍然是网络攻击者武器库中最好的工具之一。这样,攻击者就能够侵入在线帐户并窃取宝贵的个人数据。
黑市上有超过 15 亿个凭证可供购买,攻击者总是希望通过利用泄露的凭证攻击受害者来快速获利。如今,他们不一定需要付费才能将这些被盗凭证武器化——RockYou21 列表是一个可公开访问的密码列表,编译 超过 8 亿条条目。有了这个免费数据库,黑客就获得了针对毫无戒心的在线用户的大量弹药。有了这样的数据库,自动密码喷射工具只需很短的时间就能找到正确的登录组合并接管。
撞库攻击如何运作?
撞库流行的核心弱点是密码重复使用的频率。尽管很容易将所有这些责任归咎于最终用户,但值得记住的是,每个最终用户都需要跟踪大量的在线帐户。
最近的一项研究发现,现在每个人平均拥有不到 100 个在线帐户——在疫情期间,随着大量新用户发现新的在线娱乐形式,这一数字急剧增加。考虑到必须处理如此多的帐户,用户基本上被迫有两种选择:第一个是使用广泛且安全的密码管理器;第二个是使用广泛且安全的密码管理器。或者只是在帐户之间重复使用密码。虽然前者很有希望,但密码管理器仍然相对较新,距离广泛采用还很远。它们还代表了攻击者更大的目标,例如 最近的 LastPass 违规事件 企业和客户数据均被盗。
由于知道如此多的用户在多个在线帐户中依赖相同的密码,攻击者经常利用先前被泄露的凭据来获取高额利润。凭证填充是将这些泄露的凭证插入自动化程序的过程,然后该程序自动通过任何关联的在线帐户来尝试闯入。
大多数攻击都遵循相同的格式:首先,攻击者将找到或购买用户名和密码的缓存——通常因最近的数据泄露而暴露。然后,攻击者将花费少量时间测试这些组合是否可以在几个网站上运行。一旦得到证实,大规模攻击就会正式开始。所有被盗数据都被利用,针对特定服务器发出大量登录尝试。如果只有一个有效,那么攻击者就可以访问。当入侵后,攻击者将手动开始从帐户中删除任何有价值的内容,例如信用卡号、关联的电子邮件帐户和社会安全号码。最后,在放弃对帐户的控制之前,攻击者可能会持有该帐户以勒索赎金。
造成撞库攻击的原因是什么?
撞库攻击只是整个组织攻击面中许多更广泛的监督的结果。自动登录机器人依靠不断输入泄露、被盗和破解的凭据而蓬勃发展,而这些凭据均来自各个来源。
数据泄露
数据泄露从未如此普遍,它是由无数薄弱的安全实践、内部威胁和大规模有针对性的攻击造成的。当公司争先恐后地管理公关和技术系统的影响时,泄露期间发布的数据很快就会进入强大的撞库市场。随着攻击者渗透到更广泛的公司网络,相关凭证会被回收利用,导致进一步的数据泄露。由此,更多敏感数据被泄露,导致攻击呈指数级增长。
重复使用的密码
由于当今的在线连接,密码重复使用非常普遍:80% 的公司数据泄露是由密码泄露直接造成的;同样的数字还描述了因密码重复使用而导致的黑客事件的百分比。除此之外,各种密码的强度可能取决于令人震惊的可访问信息:多达三分之一的美国员工使用孩子或亲人的生日作为密码的基础。总之,此类可复制和可猜测的密码提供的潜在攻击面极大地增加了撞库攻击的爆炸半径。
网络钓鱼攻击
网络钓鱼攻击中,攻击者通过冒充来欺骗受害者。通过构建虚假电子邮件(据称来自银行、软件提供商甚至同事),受害者被说服透露他们的登录详细信息。当这些凭据被输入到欺诈性登录页面时,它们就会被添加到攻击者不断扩大的数据库中。电子邮件并不是网络钓鱼攻击者使用的唯一消息传递形式:电话、短信和社交媒体都提供了潜在的攻击途径。
泄露的凭证
凭证并不总是得到应有的尊重——快速的开发周期常常会导致疏忽,而这些疏忽很容易被恶意行为者利用。这个问题在 DevOps 之外也同样存在:员工有时会通过与他人共享凭证或以明文形式存储凭证来意外泄露凭证。当发生泄露凭证的情况时,它们会被快速添加到暗网市场上可用的整理凭证数据库中。
自动化工具
撞库难题的最后一部分由自动化工具解决。对于手动过程来说,检查数十亿个密码的有效性是不可能的。相反,攻击者通过使用机器人来提高攻击的有效性和投资回报率。它们每分钟测试数百万个密码和用户名组合,分布并放大主动攻击。
撞库检测面临的挑战
撞库者的优势在于他们能够与合法用户混在一起。传统的 Web 应用程序防火墙 (WAF) 和黑名单方法完全失败,因为这些攻击不依赖于可识别的漏洞利用或任何明显的恶意行为。从技术上讲,攻击者正在使用应用程序的登录功能来达到其预期目的 - 使 WAF 变得毫无用处。
通过识别恶意 IP 地址来采取以攻击者为中心的保护方法可能会提供一些保护,但分布式僵尸网络的庞大规模不仅可以加快工作速度,而且还可以进行高度分散的攻击,可能覆盖数千个不同的 IP 地址。这极大地限制了对撞库的主动检测。
与暴力攻击中的行为模式(机器人不断迭代之前的猜测)不同,撞库机器人只是尝试通过被盗的对进行访问,然后再继续。这使得它们具有高度的移动性——足够敏捷,可以逃避评估登录失败频率的程序。
如何防止撞库?
尽管安全团队面临着挑战,但还是有一些新兴的方法可以阻止撞库尝试。
使用多重因素进行身份验证
MFA 通过让用户使用他们拥有的东西以及他们知道的东西进行身份验证,为登录尝试添加额外的身份验证层。使用电话或访问令牌等物理身份验证方法,即使被盗的登录详细信息正确,凭证机器人也无法访问帐户。然而,由于广泛的用户体验反对意见,在整个用户群中实施 MFA 面临着巨大的挑战。
使用验证码
验证码强制用户证明他们是人类。这可以帮助减少一些成功执行攻击的机器人,但值得记住的是,攻击者有两种方法可以解决这个问题:第一种是无头浏览器(见下文);其他攻击者只是转向雇用人类来完成登录的验证码阶段。与 MFA 一样,CAPTCHA 最好与其他方法结合使用。
阻止无头浏览器
无头浏览器提供网络活动的高级自动化 - 包括验证码完成。然而,它们主要通过 JavaScript 调用进行操作,这使得它们相对容易被发现。通过阻止对所有无头浏览器的访问,验证码技术可以对撞库尝试进行更多预防性控制。
可疑IP黑名单
新手攻击者通常可以提取的恶意地址池较小。这就是 IP 封锁仍然具有潜力的地方,因为任何尝试登录多个帐户的 IP 都可以迅速被禁止。
识别并限制非住宅交通
发现源自 AWS 或其他商业数据中心的流量很容易:通过对此类流量应用严格的速率限制来利用这一点,因为它几乎肯定与机器人相关。极其谨慎地对待所有数据中心流量,确保阻止任何可疑用户。
使用 LayerX 保护员工凭证
LayerX 通过监控所有身份验证和授权行为,提供针对撞库的全面保护。这种可见性的实现得益于其作为浏览器扩展的实现,允许对任何设备上的用户登录尝试和资源访问请求进行全面监控和分析。
通过将登录活动的实地视图与市场领先的分析引擎相结合,撞库机器人的 Web 和 SaaS 会话变得清晰可见。自动标记为高风险后,LayerX 就可以实现上下文相关的第二层验证。虽然 MFA 历来很难在所有用户中实施,但 LayerX 进一步提供了这种额外的身份验证因素,消除了 MFA 和 CAPTCHA 造成的用户体验挫败感。这样,访问策略就可以确定最终用户的合法性,而不必盲目依赖被盗的凭据。
借助 LayerX,组织能够发现、预防并主动防范恶意密码使用。