憑證填充攻擊是當今各地在線企業(yè)面臨的最普遍的威脅之一

憑證填充攻擊是當今各地在線企業(yè)面臨的最普遍的威脅之一。但是，盡管這一威脅在信息安全社區(qū)的每個人的雷達上都有所上升，但對于犯罪集團如何進行這些攻擊卻知之甚少。憑證填充是網(wǎng)絡(luò)安全行業(yè)用來描述針對網(wǎng)站或應(yīng)用程序的登錄系統(tǒng)的特定類型的自動攻擊的術(shù)語。它依賴于黑客采用的用戶名 - 密碼組合，這些組合已經(jīng)通過其他公司的數(shù)據(jù)泄露泄露，并試圖使用這些泄露的憑據(jù)，希望能夠訪問其他網(wǎng)站上的帳戶 - 利用用戶重用用戶名和密碼的習慣跨多個在線服務(wù)。

憑借在LinkedIn，VK.com，Tumblr，Twitter和許多其他主要平臺遭遇黑客攻擊后，自2016年以來發(fā)生的巨大用戶憑據(jù)泄密，憑證填充是一種相對較新的攻擊媒介。

2016年，數(shù)以億計的用戶名和密碼憑證在網(wǎng)上被丟棄，此后其他泄密事件也不斷出現(xiàn)，為犯罪團伙提供新鮮的炮灰用于攻擊。

黑客和工具

要執(zhí)行憑據(jù)填充攻擊，黑客組只需要三件事：泄露的憑據(jù)，軟件應(yīng)用程序和代理。

泄露的憑證不是問題。這些數(shù)據(jù)大部分已經(jīng)在公共領(lǐng)域提供，或者可以在黑客論壇和黑暗網(wǎng)絡(luò)市場上銷售。

解析舊憑據(jù)列表并在遠程網(wǎng)站上自動執(zhí)行登錄操作的軟件應(yīng)用程序也不是問題。事實上，根據(jù)未來的Recorded報告，黑客團體可以在線購買至少六種此類工具，其中包括STORM，Black Bullet，Private Keeper，SNIPR，Sentry MBA和WOXY等。

這些工具都很便宜，而且它們很少以超過50美元的價格出售。有些設(shè)計用于一次檢查一個帳戶(但已經(jīng)過修改以進行憑證批量檢查)，而其他設(shè)計則是從頭開始構(gòu)建或重建的，其中包括憑證填充 - 例如SNIPR和Sentry MBA。

在過去二十年中，技術(shù)世界花費了大量時間專注于創(chuàng)新，安全性往往是事后的想法。了解它最終如何以及為何變化。

但是如果在沒有代理的面紗的情況下使用這些工具將會毫無用處，這些代理可以承受大量的登錄請求并將其傳播到數(shù)十萬個IP地址。

如果黑客使用來自單個IP地址的任何這些工具，則在幾次嘗試失敗后，在線提供商(或Web防火墻產(chǎn)品)會將該IP列入黑名單。因此，使用任何這些工具的代理是必須的。

掌握一批代理并不是很困難。事實上，它可能是黑客可以獲得的三個主要工具中最容易的。他們不斷在黑客論壇，XMPP垃圾郵件，黑暗網(wǎng)絡(luò)或封閉的網(wǎng)絡(luò)犯罪論壇上做廣告，已經(jīng)多年。

它們也非常便宜，并提供多種配置和選項。其中一些是被黑客入侵的服務(wù)器，一些是受惡意軟件感染的移動和桌面設(shè)備，有些是家用路由器和物聯(lián)網(wǎng)設(shè)備。

ZDNet已經(jīng)了解到，黑客將使用他們可以獲得的代理服務(wù)，但是目前絕大多數(shù)憑證填充攻擊都是通過物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)進行的。

TheMoon和Linux.ProxyM是兩個僵尸網(wǎng)絡(luò)的名稱，這些僵尸網(wǎng)絡(luò)被指責通過他們感染的物聯(lián)網(wǎng)設(shè)備和路由器來轉(zhuǎn)發(fā)憑據(jù)填充攻擊。

兩家美國互聯(lián)網(wǎng)服務(wù)提供商告訴ZDNet他們已經(jīng)看到他們自己的客戶內(nèi)部部署(CPE)路由器參與憑證填充攻擊。

第一家互聯(lián)網(wǎng)服務(wù)提供商CenturyLink在1月份的一次采訪中向ZDNet證實，自2018年以來，TheMoon一直在進行憑證填充攻擊。

“我們在未來幾個月見證了多個憑證填充受害者，”CenturyLink威脅研究和運營部門Black Lotus Labs負責人Mike Benjamin告訴我們。“雖然我們希望避免命名受害者，但描述其中一些可能有助于了解這些攻擊的性質(zhì)：銀行，在線零售商，餐館連鎖店，視頻流媒體服務(wù)。”

填寫“經(jīng)濟”的憑證

黑客團體之所以進行此類攻擊，是因為他們可以通過劫持真實用戶的帳戶賺錢，他們后來在黑客論壇或?qū)ｉT銷售黑客數(shù)據(jù)的在線商店上出售。

圖像：記錄的未來

其他犯罪集團購買這些帳戶并將其重新用于各種目的。例如，“破解”的Netflix賬戶作為Netflix盜版服務(wù)的一部分被重新出售;“破解”的PayPal資料被出售給所有資金賬戶的錢騾;雖然“破解”亞馬遜帳戶用于使用已附加到用戶個人資料的支付卡詳細信息來下達欺詐性訂單。

如果黑客或欺詐者有任何方式濫用用戶的帳戶，那么該公司可能會在某個時刻面臨憑據(jù)填充攻擊。

黑客團體已經(jīng)針對各種帳戶發(fā)起了憑據(jù)攻擊，無論他們是一個小型的媽媽和流行商店，還是Alexa Top 100門戶網(wǎng)站。

廣告攔截AdGuard，銀行巨頭匯豐銀行，社交媒體網(wǎng)站Reddit，視頻分享門戶網(wǎng)站DailyMotion，交付服務(wù)Deliveroo，企業(yè)工具Basecamp，餐飲連鎖店Dunkin'Donuts以及稅務(wù)申報服務(wù)TurboTax等公司都公開承認在憑證的接收端填充攻擊，黑客可以訪問某些帳戶。

定位不僅僅是公共網(wǎng)站

此外，黑客組織也在使用這些攻擊來訪問甚至沒有龐大用戶群的私人網(wǎng)站。例如，憑證填充攻擊也針對WordPress站點，其中一些甚至不允許用戶注冊。盡管如此，黑客正在使用憑證填充來嘗試猜測管理員帳戶的密碼，因此他們可以接管該網(wǎng)站并在其他惡意軟件分發(fā)活動中使用它。

同樣，針對RDP，Telnet和SSH端點的證書填充攻擊也表明，服務(wù)器和普通工作站可以像網(wǎng)站一樣被定位。

雖然沒有公司承認過以這種方式被黑客入侵，但企業(yè)內(nèi)部網(wǎng)或任何其他企業(yè)應(yīng)用程序也容易受到這些類型的攻擊。

據(jù)認為，憑證填充操作每年會產(chǎn)生數(shù)百億次登錄嘗試，這是公司不應(yīng)忽視的威脅，尤其是那些活躍在金融，零售和多媒體領(lǐng)域的人，根據(jù)Akamai的說法，這些領(lǐng)域已被定位。比其他垂直更多。

公司可以阻止憑證填充攻擊的方式非常簡單，涉及部署雙因素身份驗證以為用戶帳戶添加額外的安全層。