凭据填充 101
凭据填充 101 这些攻击是如何工作的 , 为什么它们持续存在 , 以及你能做些什么来防止它们。 Introduction 什么是凭证填充?是什么使得凭证填充成为可能?凭证填充的构成 操作对凭证填充的影响 防范措施 结论 SpyCloud的独特之处 凭证填充的目标目的是尽可能获取用户的账号权限,接管这些账号,并实施欺诈行为。 Introduction 2020 年初 , 攻击者入侵了超过 16 万人任天堂帐户。大约在同一时间 , 大约 500, 000 Zoom用户的登录凭证在暗网上被分享。动视、The North Face和万豪国际等公司的大量客户数据落入了不法分子之手,这一事件引起了广泛关注。对于万豪国际而言,这次520万个账户信息泄露尤其令人痛心,因为公司在2018年曾遭受过一次重大数据泄露,超过3亿个客户账户的信息被盗用。 由于疫情期间大量人员居家,广受欢迎的消费服务面临着高需求。这些情况下,它们不可避免地遭遇了增加的安全威胁。在许多案例中,各组织迅速坚称其系统未被侵犯。但用户的账户,有时连同他们的财务信息,实际上已被侵入。 而非试图进入企业基础设施,攻击者采取了更为简单的方式。肆意重用密码使他们能够直接登录数十万用户的账户,自动化犯罪软件起到了辅助作用。以任天堂为例,SpyCloud 研究人员发现了一个专门定制的账号检查工具的源代码,该工具旨在帮助犯罪分子测试盗取的凭证与Nintendo登录进行匹配,允许攻击者访问客户账户并利用保存的支付方式购买游戏内货币。 这些攻击背后的网络犯罪软件可能高度复杂,但攻击方法——被称为“凭证填充”——却令人沮丧地普遍。更让人挫败的是,谁的责任来阻止这类攻击的问题。 什么是凭证填充 ? 凭证填充指的是将大量被盗取的凭证组套用于目标应用程序或网页界面的行为。从数据泄露中获取的受损凭证被用来构建“字典”或“组合列表”。这些凭证在犯罪网络内交易和出售,随后用于凭证填充操作。实际上,只要公司持续遭受攻击,这些列表就会不断变得更为有效。 凭证填充攻击的关键组成部分之一,组合列表是一份包含先前泄露的凭证的列表,这些凭证被加载到自动化暴力破解工具中,一次测试这些凭证针对成千上万个网站。这些工具可以检查常见的密码变体。 随着每一次网络安全事件的发生,受害组织都会承诺找出罪犯并确保消费者保护。这一策略存在缺陷,因为我们,作为消费者,正是问题的一部分。通过分析所有的泄露数据,SpyCloud发现... 对于那些遭受两次或以上泄露的用户中,有57%的人会在多个账户上重复使用相同的密码(或轻微变化的密码)。因此,攻击者很容易利用组合列表解锁许多账号。 暗网中可获取的庞大被盗凭证与自动化相结合,使得这些攻击具备了可扩展性且相对简单明了。利用现成的恶意软件,即便是经验不足的网络犯罪分子也能将(或“填充”)数百万个被攻破的凭证一次性注入到任意数量网站的登录页面中。 目标是通过获取尽可能多的用户账户的未经授权访问,接管这些账户,并进行欺诈性活动,以实现凭证填充(credential stuffing)。账户接管(Account Takeover,简称ATO)允许攻击者从银行账户中盗取资金、进行大额购买、窃取身份,或者结合真实和虚假信息创建新的“合成”身份。2020年的SolarWinds 供应链攻击提供了最坏情况设想:一个攻击者通过提升用户权限以在组织网络中获得立足点,并执行严重、长期且代价高昂的攻击。 InSpyCloud 的 2021 年年度凭证曝光报告我们强调了企业区分消费者账户被访问是否由于内部资源泄露还是通过凭证填充行为的重要性。 违规行为源自公司未能保护其资产,并通常具有监管影响,而凭证填充则通常是消费者密码卫生不良的结果。 但组织对用户密码选择应承担多少责任呢?随着品牌损害和客户信任流失等后果的出现,越来越多的企业采取主动的安全策略——在第三方泄露事件(并非其自身网站,而是其他完全不同的网站)中提醒客户其凭证被盗用时,因为密码通常会在多个账户之间重复使用。一个服务的泄露可能会对其他业务产生连锁反应,尤其是在涉及到凭证填充的情况下。 什么使凭据填充成为可能 ? 密码重复使用 平均而言 , 人们预计会跟踪周围的70 - 100 个密码。对 SpyCloud 数据库的分析显示 , 密码的总重用率为 57 % , 并且60% 密码重复使用率对于 2020 年收集的违规行为。问题只会变得更糟。 巨大的突破 2005 年首次数据泄露一百万条记录,这在当时令人震惊。它们一直在扩大;八年之后,雅虎的数据泄露事件揭露了一个惊人的事实。30 亿条记录如今,漏洞导致数千万个凭证暴露的情况并不少见。这些用户名+密码组合构成了组合列表的基础,这是凭证填充攻击的关键组成部分。 自动化 + 低准入门槛 凭证填充是一场数字游戏——而且是一个有利可图的游戏。得益于自动化,即便是小规模的犯罪者也能以低于 的成本测试10万个凭证。$200。典型的成功率很低 ,在 1 - 2% 之间, 这意味着攻击者可以从100k 凭证对开始的单次攻击中获取多达 4, 000 个有效帐户。 检测迟缓 组织识别和遏制违规行为的平均时间为280 days这给了攻击者一个大窗口来滥用被盗凭证。 犯罪分子并未实际上手动在多个网站上输入成千上万的凭证。此外,网络服务已设置了限制以阻止单一IP地址来源的大批量活动。如果必须手动执行凭证填充攻击,则它们既不可行也无利可图,因此自动化是关键。 自动凭证填充工具在恶意平台上以相对较低的成本可获取这些商品。许多攻击者并非自行编写自动化脚本,而是使用所谓的“账户检查器”工具。这些工具使得攻击者能够轻松地输入一大串被盗取的用户名和密码组合,并对目标网站进行测试。 购买组合列表 过去,熟练的攻击者需要入侵网站以窃取凭证。但现在,暗网上已经存在如此多有效的凭证,即使是不熟练的攻击者也能轻松获取它们。犯罪分子只需花费最低2美元,便可在地下市场上购买包含多个数据泄露信息组合的列表。 伪装起来 为了成功实施,凭证填充攻击必须模拟目标网站上的常规网络流量。短时间内从单一IP地址发出数百万登录请求会引发防御者的警觉。为了避免这种情况,攻击者可以寻求IP代理服务提供商的帮助,利用机器人将登录请求分散到成千上万个IP地址上,从而掩盖可疑的攻击行为。 加载列表和分析帐户 公共资源使犯罪分子能够迅速下载一个工具,该工具可以将组合列表与流行的商业网站进行比较。犯罪分子可以将组合列表加载到工具中,并通过勾选每个站点的框来简单选择特定的站点,或者一次对数百个站点运行工具。犯罪分子甚至可以自定义配置凭据填充工具,以查找具有特定现金、积分和/或虚拟货币余额的账户。当匹配时,他们可以看到被侵犯账户背后的账户余额,并提前确定是否可以访问目标账户。 发射攻击 攻击者的目的是揭示所有成功的登录请求。随着工具对提供的凭证进行处理,攻击者会收到有效的凭证通知。从技术上讲,当攻击者收到这些结果时,攻击本身就已经完成。但仅仅获得一个有效凭证列表并不是攻击者的最终目标。 开始 ATO 拥有目标网站验证后的凭证列表,攻击者将转向获取收益。他们如何实现这一目标取决于其目的以及所攻击的网站类型。目标是榨干账户的价值,因此他们可能会通过欺诈性的银行交易窃取资金、在电子商务网站上进行大额购买、利用信用卡进行现金预支,或者以现金或商品的形式出售礼品或奖励卡。更高级的攻击者会使用合法账户深入访问受害者的网络,提升权限以执行更为恶毒的行为,如关闭基础设施或窃取公司信息及商业机密。 根据《私营行业通知》发布的FBI去年,在 2017 年至 2020 年期间 , 凭证填充占美国金融部门安全事件的 41% 。 不包括与欺诈相关的成本 ,凭证填充成本平均影响企业$600 万每年。 不论您的行业如何,凭证填充(credential stuffing)都是一个对所有领域都公平对待的罪犯,并且其影响是实实在在的。在2020年,一家中等规模的美国金融机构将大量登录尝试行为与各种凭证组合联系起来,超过了$350 万在欺诈交易中。即使没有实际的欺诈行为发生,填充凭据仍会产生影响。从2019年6月至2020年1月,一家位于纽约的投资公司就遭遇了此类问题。凭证填充攻击针对他们的移动 API , 导致系统中断 , 阻止了近 200 万美元的收入收集。 撇开欺诈损失不谈,这些报告并未提及可能产生的法律成本和监管罚款,更不用说品牌声誉和客户信任的损失。几乎50% 的消费者根据CA Technologies的一项调查,有...%的人表示他们停止使用某公司的服务是因为数据泄露 - 现在,数据泄露和凭证填充攻击...感知几乎是一样的。 预防措施 如同钓鱼攻击或下载的恶意软件一样,凭证填充依赖于每个组织中的薄弱环节——人。任何针对凭证填充的预防措施都必须从人员及其密码开始。 加强密码 使用强制实施强密码策略NIST 指南特别是在这方面,应禁止使用常见密码,包括已知在数据泄露中出现过的密码。对于员工而言,考虑实施企业级的密码管理工具,并鼓励他们将其用于个人账户。 的用户在多个帐户中重复使用至少一个密码根据SpyCloud 的 2021年年度凭证曝光报告 实施 MFA 尽可能为您的所有面向公众的网站和处理敏感及机密数据的内部资源实施多因素认证(MFA)。虽然它并非万无一失的保护(攻击者始终在寻找新的方法来突破防御),但它设置了一道可能不值得犯罪分子为低努力凭证填充攻击而克服的障碍。 自动预防 自动化是关键,后台会无缝检查登录情况以防止入侵。即使犯罪分子能够找到从泄露中获取的有效密码并在其他网站上使用,他们也无法利用这些密码访问您的系统——前提是您主动为在第三方泄露中受影响的用户提供强制密码重置措施。实施这些措施不会阻碍合法用户的活动,有多种方法可以实现这一点。 攻击者无疑会利用“最容易摘取的果实”——即付出最小努力却能获得最大收益的事物。只要存在愿意购买被盗数据的犯罪分子、未能自我保护的消费者以及担心在保护用户(及其财务状况)的前提下引入少许不便的企业,就会有凭证填充攻击。随着越来越多的人在家工作和在线购物,创建新账户并重用密码,这一大规模问题只会变得更加严重。 希望消费者和组织都能主动采取可用的预防措施。对于那些习惯难以改变的消费者而言,只要我们继续复用密码,可以预见凭证填充攻击将持续存在。 消费者 ATO 预防 保护您的用户免受帐户收购欺诈和未经授权的购买。 安全专业人士应为自己和他人着想,推动更好的密码卫生习惯、监控系统被攻陷的情况,并在发生时采取行动。在我们这个互联互通的世界中,各种平台和技术相互交织,一个服务的漏洞很容易引发其他服务的损失。 员工 ATO 预防 保护您的组织免受密码重复使用造成的破坏和 BEC。长箭头 - 右 SpyCloud 的差异 VIP 卫士 围绕利用人类情报(HUMINT)特技早期获取的数据主动利用技术构建安全计划,是成功的关键路径。SpyCloud的解决方案,依托全球最大的被盗凭证和PII恢复数据库支持,能够帮助企业领先于针对特定账户接管及凭证填充,通过提前检测并自动重置被攻破的密码,防止犯罪分子有机会使用这些信息,从而保持领先地位。 保护风险最高的高管免受目标账户收购。 Active Directory Guardian 我们的客户继续告诉我们,他们防止账户接管的能力既取决于获取相关数据(包括行业中最明文密码)的能力,也取决于通过自动化使这些数据操作性可执行的能力。 自动检测和重置暴露的 Windows 帐户。 - 右发现与您的电子邮件地址以及整个域关联的违规记录数量。一旦了解,您就可以采取行动。 第三方洞察 监控第三方风险并共享数据以帮助进行补救。 长箭头 - 右了解更多
