撞库:2017年的大麻烦

简介:

本文讲的是 撞库:2017年的大麻烦,每拥有100万的失窃凭证,黑客们可以使用Sentry MBA等类似工具大规模入侵目标网站上的账户。而根据Shape Security发布的2017凭证泄露报告,2016年共计有33亿用户凭证泄露。

image

凭证窃取是指攻击者破坏系统、窃取用户的访问凭证(通常是ID和口令的组合)。其中ID往往是用户的电子邮件地址。凭据泄露则意味着这些凭证被提供给了其他攻击者。凭据填充(俗称“撞库”)则是大规模使用自动化测试来验证被盗密码是否能用于其他无关联网站。

撞库之所以可行,归根结底是因为用户往往在多个账户上使用同样的几组口令。这就导致一旦攻击者获取了一个账户的口令,他们也就有了很可能适用于其他账户的合法凭证。

想想2016年雅虎发生的两次泄露事件,总共15亿被脆弱的MD5加密算法保护的凭证泄漏到互联网。发生在2012年、2013年的凭证盗窃,使攻击者有四年时间来破解这种脆弱的保护。这类事件意味着罪犯已经储备了大批合法的用户凭证,而用户的多账号同口令现象意味着这些凭证大部分都已经被被用于其他账户。

Shape Security的报告指出:“凭证盗窃规模如此之大,而雅虎用户又这么广泛,这意味着过去几年里这些被盗凭证助长了不计其数的网络犯罪。”

使用被泄露口令进行简易暴力测试是很容易被发现并阻止的,许多站点会尝试阻断同一IP对不同账户的多次登录尝试或同一账户的多次失败登录请求。

而“凭据填充”则很不一样。 Shape Security 创始人苏米特·阿加瓦尔在五角大楼担任国防部长代理助手时发明了这个词。这种攻击手段结合了凭证源、Sentry MBA等工具和僵尸网络的分工方式。 Sentry MBA周期性地通过僵尸网络检验泄漏的凭证是否对目标网站有效。

因为僵尸网络的每个IP每次只检验一个凭证,无论登录尝试是否成功,作为渗透目标的网站会将这其视为用户的正常登录尝试。即使攻击受到怀疑,Sentry MBA已经切到下一个僵尸网络IP,完全不受到网站阻止可疑IP登录等安全策略的影响。

Sentry MBA 提供了击败其他防御的各种技术手段,比如内置光学字符识别功能来对抗验证码。

Shape Security的数据表明,凭证填充的破解成功率为为0.1%~2%。这意味着攻击者每尝试100万个被泄露的凭证,就可以发现平均1万个因口令复用的而导致登陆信息泄露的账户。

image

凭据填充并不神秘,事实上,它正被广泛的使用。举例而言,根据Shape Security的报告,“攻击者们锁定了一个财富100强的B2C(企业对消费者)网站,并在一个星期内使用多组攻击以及遍布世界各地的成千上万个代理进行了超过五百万次登录尝试。”另一个案例则是“有一天,一个大型零售网站发现了使用1000多个代理进行的超过10000登录尝试”。

雪上加霜的是,被窃取的凭证也并不难找。黑客们会为了找乐子或扬名立万把凭证散播到网上。当黑客们在凭证黑市(比如Cracking-dot-org、 Crackingking-dot-org以及 Crackingseal-dot-io)做生意时,这些名声会派上大用场。

上述种种只会导致一种结果:凭证填充简易而且有效,而只要有一点起码的技术底子,谁都可以使用它。凭证填充包含五步:

获取被窃凭证;
选择目标;
编写一个自动脚本来辨别登录尝试是否成功;
用一个可配置的凭证填充工具(比如Sentry MBA)来绕开网站的WAF或验证码;
将账户和赃物收入囊中。
据Shape Security预测,由于2016年被泄露的33亿(很可能有更多我们尚不知道的)凭证在网络犯罪体系中广泛传播,凭证填充无疑会成为2017年的重大威胁。有一个简单的办法可以一劳永逸地解决问题:用户在配置口令时绝不能与任一现有口令重复。而这一目标显然超出企业和安全行业能力之外。因此,企业必须另寻佳径来应对这一日益严重的威胁。

原文发布时间为: 二月 4, 2017
本文作者:Alfred.N
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/industry/22660.html

相关文章
|
7月前
|
安全 数据库 数据安全/隐私保护
撞库攻击是什么?如何有效阻止撞库攻击?
通过采取这些防护措施,可以有效降低撞库攻击的成功几率,保护用户的账户和数据安全。
310 0
撞库攻击是什么?如何有效阻止撞库攻击?
|
SQL 存储 安全
影视网站密码泄露?SQL注入攻击
影视网站密码泄露?SQL注入攻击
|
安全 数据安全/隐私保护
Facebook再遭黑客攻击 部分账户密码被盗
5月18日消息,目前大受欢迎的社交网站Facebook日前再次受到黑客骚扰,大约200万用户成为了他们的攻击对象,黑客获得了部分用户的密码信息。 据国外媒体报道,Facebook发言人表示,目前网站已经处理了大部分由攻击造成的问题。
885 0
|
新零售 安全 数据安全/隐私保护
盗取手机验证码诈骗的克星来了:号码认证服务为你保驾护航
今年开始,一种仿佛是“黑魔法”的新诈骗手段叫人人心惶惶:受害者只是睡了个觉,醒来就看到手机显示数百条在各大购物网站、手机银行甚至借贷网站的消费转账记录。受害者什么也没做,就仿佛手机成了精,趁主人熟睡时疯狂买买买。
2687 0
|
安全 Android开发 数据安全/隐私保护
|
Web App开发 存储 安全
|
安全 数据安全/隐私保护
|
安全 PHP 数据安全/隐私保护
DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶
本文讲的是DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶,近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。
2676 0
|
安全 网络安全 数据安全/隐私保护