撞库:2017年的大麻烦

简介:

每拥有100万的失窃凭证,黑客们可以使用Sentry MBA等类似工具大规模入侵目标网站上的账户。而根据Shape Security发布的2017凭证泄露报告,2016年共计有33亿用户凭证泄露。

凭证窃取是指攻击者破坏系统、窃取用户的访问凭证(通常是ID和口令的组合)。其中ID往往是用户的电子邮件地址。凭据泄露则意味着这些凭证被提供给了其他攻击者。凭据填充(俗称“撞库”)则是大规模使用自动化测试来验证被盗密码是否能用于其他无关联网站。

撞库之所以可行,归根结底是因为用户往往在多个账户上使用同样的几组口令。这就导致一旦攻击者获取了一个账户的口令,他们也就有了很可能适用于其他账户的合法凭证。

想想2016年雅虎发生的两次泄露事件,总共15亿被脆弱的MD5加密算法保护的凭证泄漏到互联网。发生在2012年、2013年的凭证盗窃,使攻击者有四年时间来破解这种脆弱的保护。这类事件意味着罪犯已经储备了大批合法的用户凭证,而用户的多账号同口令现象意味着这些凭证大部分都已经被被用于其他账户。

Shape Security的报告指出:“凭证盗窃规模如此之大,而雅虎用户又这么广泛,这意味着过去几年里这些被盗凭证助长了不计其数的网络犯罪。”

使用被泄露口令进行简易暴力测试是很容易被发现并阻止的,许多站点会尝试阻断同一IP对不同账户的多次登录尝试或同一账户的多次失败登录请求。

而“凭据填充”则很不一样。 Shape Security 创始人苏米特·阿加瓦尔在五角大楼担任国防部长代理助手时发明了这个词。这种攻击手段结合了凭证源、Sentry MBA等工具和僵尸网络的分工方式。 Sentry MBA周期性地通过僵尸网络检验泄漏的凭证是否对目标网站有效。

因为僵尸网络的每个IP每次只检验一个凭证,无论登录尝试是否成功,作为渗透目标的网站会将这其视为用户的正常登录尝试。即使攻击受到怀疑,Sentry MBA已经切到下一个僵尸网络IP,完全不受到网站阻止可疑IP登录等安全策略的影响。

Sentry MBA 提供了击败其他防御的各种技术手段,比如内置光学字符识别功能来对抗验证码。

Shape Security的数据表明,凭证填充的破解成功率为为0.1%~2%。这意味着攻击者每尝试100万个被泄露的凭证,就可以发现平均1万个因口令复用的而导致登陆信息泄露的账户。

凭据填充并不神秘,事实上,它正被广泛的使用。举例而言,根据Shape Security的报告,“攻击者们锁定了一个财富100强的B2C(企业对消费者)网站,并在一个星期内使用多组攻击以及遍布世界各地的成千上万个代理进行了超过五百万次登录尝试。”另一个案例则是“有一天,一个大型零售网站发现了使用1000多个代理进行的超过10000登录尝试”。

雪上加霜的是,被窃取的凭证也并不难找。黑客们会为了找乐子或扬名立万把凭证散播到网上。当黑客们在凭证黑市(比如Cracking-dot-org、 Crackingking-dot-org以及 Crackingseal-dot-io)做生意时,这些名声会派上大用场。

上述种种只会导致一种结果:凭证填充简易而且有效,而只要有一点起码的技术底子,谁都可以使用它。凭证填充包含五步:

  1. 获取被窃凭证;
  2. 选择目标;
  3. 编写一个自动脚本来辨别登录尝试是否成功;
  4. 用一个可配置的凭证填充工具(比如Sentry MBA)来绕开网站的WAF或验证码;
  5. 将账户和赃物收入囊中。

据Shape Security预测,由于2016年被泄露的33亿(很可能有更多我们尚不知道的)凭证在网络犯罪体系中广泛传播,凭证填充无疑会成为2017年的重大威胁。有一个简单的办法可以一劳永逸地解决问题:用户在配置口令时绝不能与任一现有口令重复。而这一目标显然超出企业和安全行业能力之外。因此,企业必须另寻佳径来应对这一日益严重的威胁。


作者:Alfred.N

来源:51CTO

相关文章
|
编解码 API 数据安全/隐私保护
FFmpeg中overlay滤镜用法-水印及画中画
overlay 技术又称视频叠加技术。overlay 视频技术使用非常广泛,常见的例子有,电视屏幕右上角显示的电视台台标,以及画中画功能。画中画是指在一个大的视频播放窗口中还存在一个小播放窗口,两个窗口不同的视频内容同时播放。
2771 0
FFmpeg中overlay滤镜用法-水印及画中画
|
4月前
|
传感器 机器学习/深度学习 资源调度
Figure 03自主清洁147秒引关注,马斯克亲自下场追问
Figure 03人形机器人搭载Helix 02模型,147秒全自主完成客厅清洁,无干预、无加速。其端到端神经网络实现感知-决策-控制一体化,凭真实家庭数据驱动技能迭代,展现卓越环境适应力与全身协同能力,加速人形机器人家用落地进程。
|
6月前
|
应用服务中间件 Shell nginx
我的docker学习笔记
本指南系统讲解Docker核心实践:涵盖安装配置、镜像获取与管理、容器生命周期操作(启停/日志/进入/导入导出)、数据卷与Bind Mount数据持久化、网络配置(Bridge/自定义网络/DNS)、Dockerfile定制镜像(COPY/ADD/CMD/ENTRYPOINT/ENV/ARG/VOLUME等指令详解)及Docker Compose编排应用。内容实用,步骤清晰,适合快速上手与深入实践。(239字)
487 6
|
7月前
|
传感器 算法 机器人
医疗引导机器人技术架构解析:决定品牌竞争力的核心要素
智慧医院建设推动医疗引导机器人迈向智能化,其核心技术涵盖多传感器融合导航、垂直领域大模型与RAG语义理解、主动视觉交互、跨楼层梯控及HIS系统深度集成。本文从技术架构出发,剖析环境感知、认知决策与系统协同的关键突破,揭示机器人如何成为连接物理空间与数字医疗的核心终端。
|
存储 安全 Java
堆外内存的重要性
堆外内存的重要性
396 3
|
机器学习/深度学习 自然语言处理 前端开发
国产开源Sora,视频生成CogVideoX再开源!更大尺寸,更高质量!
CogVideoX 又双叒叕开源啦!这次开源了更大尺寸!看看和之前有什么区别吧?
|
JavaScript Linux Android开发
mac环境下搭建frida环境并连接网易mumu模拟器
这篇文章介绍了如何在mac环境下搭建Frida环境,并详细说明了如何连接网易MuMu模拟器进行动态分析。
1643 1
|
存储 缓存 监控
Sentry Web 前端监控 - 最佳实践(官方教程)
Sentry Web 前端监控 - 最佳实践(官方教程)
2006 0
Sentry Web 前端监控 - 最佳实践(官方教程)
|
定位技术 数据安全/隐私保护
3分钟部署 我的世界(Minecraft) 联机服务
如何通过计算巢快速部署《我的世界(Minecraft)》联机服务
3分钟部署 我的世界(Minecraft) 联机服务
|
网络协议 Linux
工作总结之服务器时间不同步导致平台验证失败及Linux系统时间同步方法
在Windwos中,系统时间的设置很简单,界面操作,通俗易懂,而且设置后,重启,关机都没关系。系统时间会自动保存在BIOS时钟里面,启动计算机的时候,系统会自动在BIOS里面取硬件时间,以保证时间的不间断。
905 0
工作总结之服务器时间不同步导致平台验证失败及Linux系统时间同步方法