安全動態(tài)

Recorded Future撞庫攻擊報(bào)告 | 泄露信息過億,利潤高達(dá)20倍

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-05-09    瀏覽次數(shù):
 

信息來源:FreeBuf

撞庫攻擊是如今最常見的攻擊,給企業(yè)帶來巨大威脅。撞庫帶來的威脅往往不是直接的,但是由此造成的信息泄露以及進(jìn)一步的滲透與攻擊會更為嚴(yán)重。Akamai的報(bào)告顯示,2018年五月到十二月期間,共發(fā)生了約280億次撞庫攻擊,其中零售網(wǎng)站是遭遇攻擊最多的,累計(jì)超過100億次。

很多企業(yè)已經(jīng)開始注重防范撞庫攻擊,但可能并不清楚撞庫攻擊已經(jīng)形成了一條完整產(chǎn)業(yè)鏈。近日,Recorded Future發(fā)布了一份撞庫攻擊分析報(bào)告,描述撞庫的現(xiàn)狀、常用工具以及應(yīng)對方法。

credential-stuffing.png

撞庫

簡單來說,撞庫就是黑客利用已經(jīng)泄露的賬號密碼,去其他網(wǎng)站或應(yīng)用程序中嘗試登錄的行為。撞庫主要利用的是人們在多個(gè)平臺使用相同賬號密碼的行為習(xí)慣。首次大規(guī)模撞庫攻擊大約發(fā)生在2014年,當(dāng)時(shí)也是地下黑市迅速擴(kuò)張的時(shí)期。在幾個(gè)大型黑市中,售賣的賬號密碼多達(dá)數(shù)億。這讓撞庫形成了一個(gè)產(chǎn)業(yè)鏈,有人將撞庫得到的數(shù)據(jù)拿到暗網(wǎng)中售賣,而有人購買這些數(shù)據(jù)用于進(jìn)一步的撞庫與攻擊。相關(guān)的工具與教程也充斥在地下市場,催生新的生意。近幾年,信息泄露事件此起彼伏,更是源源不斷地給攻擊者提供了新籌碼,也讓其他尚未曝出信息泄露的的平臺陷入險(xiǎn)境。

在地下黑市中,攻擊者注冊成會員,可以上傳任意數(shù)量的經(jīng)過驗(yàn)證的數(shù)據(jù),而平臺會從每次銷售金額中扣除10%至15%的傭金。這些撞庫得來的數(shù)據(jù)除了電子郵件和密碼之外,還經(jīng)常包括帳戶持有人所在的城市、居住狀態(tài)、交易歷史、帳戶余額等。還有一些會根據(jù)購買者的需求給出定制化的數(shù)據(jù)。

credential-stuffing-attacks-1-1.png

如圖,除了被入侵的公司名稱,買家還可以查看賬戶可用的余額、積分;帳戶持有人的居住地、相關(guān)的支付卡、最后一筆交易的日期以及帳戶持有人登錄電子郵件的主機(jī)名等

最初,基于撞庫的數(shù)據(jù)交易并不多。但由于很多人都在多個(gè)平臺使用相同的賬號密碼,讓攻擊者看到可乘之機(jī)。調(diào)查顯示,撞庫的成功率在1%-3%之間。此外,可以反復(fù)使用相同的數(shù)據(jù)庫來破解幾十個(gè)不同的網(wǎng)站,從而獲得更高的利潤。網(wǎng)絡(luò)犯罪分子只需花費(fèi)較少的財(cái)力和精力,就能獲得高于成本至少20倍的利潤。

2.png

按照百分之一的成功率計(jì)算,撞庫攻擊的利潤比成本高出至少20倍

常用攻擊工具

一般情況下,黑客組織只要手握泄露的憑證(賬號密碼)、軟件 APP 和代理,就能發(fā)起撞庫攻擊。這些憑證大多來自于公開的泄露事件,也有一些是黑客在暗網(wǎng)中購買的。而用于解析已知憑證并遠(yuǎn)程在其他網(wǎng)站上登錄的軟件應(yīng)用也很容易獲取。報(bào)告顯示,黑客可以購買STORM、Black Bullet、Private Keeper、SNIPR、Sentry MBA和WOXY等工具用于撞庫。

STORM

STORM是用C語言編寫的,可免費(fèi)試用。技術(shù)特征如下:

支持FTP破解

同時(shí)進(jìn)行FTP和HTTP攻擊

并行會話

用于活動分析的調(diào)試功能

支持最多2000萬封電子郵件的組合列表與密碼記錄

支持HTTP / HTTPS

支持SOCKS4和SOCKS5

代理自動更新,自動收集公共資源

關(guān)鍵字捕獲(高級帳戶詳細(xì)信息的收集)

JavaScript重定向

3.png

Black Bullet

Black Bullet最早出現(xiàn)于2018年,帶有暴力破解功能。其主要特點(diǎn)如下:

驗(yàn)證碼繞過

用戶可以選擇自行修改和創(chuàng)建新的配置文件

支持Selenium Webdriver

價(jià)格:30至50美元

4.png

Private Keeper

俄語區(qū)最受歡迎的工具,有在線商店。主要特點(diǎn)如下:

價(jià)格:0.8美元左右

并行會話

實(shí)用程序軟件,可自動連接到私有或公共代理服務(wù)

5.png

SNIPR

用C語言編寫,支持在線撞庫、在線暴力破解。

配置文件:官方打包文件中包含超過100份配置文件

價(jià)格:20美元

6.png

Sentry MBA

有超過1000分配置文件

支持 HTTP/HTTPS 

支持SOCKS4和SOCKS5

售價(jià)在5美元到20美元之間

7.png

WOXY

可用于驗(yàn)證郵箱賬號是否有效,并掃描郵箱內(nèi)容,提取重要信息(如禮品卡、在線訂閱內(nèi)容等)。同時(shí),可自動重置密碼,劫持郵箱賬號。目前,網(wǎng)上已經(jīng)有該工具的免費(fèi)破解版。

8.png

應(yīng)對

1.除了使用公開的免費(fèi)代理進(jìn)一步混淆攻擊之外,犯罪分子通常會使用付費(fèi)代理服務(wù)。但是,分析表明,此類服務(wù)通常使用地理欺騙技術(shù)來創(chuàng)建大量IP池。這些域可能具有相同的IP地址,但會使用不同的子網(wǎng)。通過此類IP監(jiān)控Web流量活動,可以在一定程度上應(yīng)對撞庫攻擊。

2.很多遭遇過撞庫攻擊的組織都增加了多因素身份驗(yàn)證,增加撞庫的復(fù)雜程度,提升其時(shí)間成本,也是一種應(yīng)對方式。

3.持續(xù)監(jiān)控地下黑市和表網(wǎng)信息,了解企業(yè)自身相關(guān)的信息,并及時(shí)對泄露的內(nèi)容追蹤溯源,全面分析并了解更多攻擊指標(biāo),以便進(jìn)一步防護(hù)。

4.終端用戶可以使用密碼管理器,為每個(gè)在線帳戶設(shè)置獨(dú)一無二的強(qiáng)密碼,降低被撞庫的風(fēng)險(xiǎn)。

 
 

上一篇:聚銘網(wǎng)絡(luò)榮譽(yù)成為南京大數(shù)據(jù)產(chǎn)業(yè)協(xié)會會員

下一篇:2019年05月09日 聚銘安全速遞