信息來源:FreeBuf
撞庫攻擊是如今最常見的攻擊,給企業(yè)帶來巨大威脅。撞庫帶來的威脅往往不是直接的,但是由此造成的信息泄露以及進(jìn)一步的滲透與攻擊會(huì)更為嚴(yán)重。Akamai的報(bào)告顯示,2018年五月到十二月期間,共發(fā)生了約280億次撞庫攻擊,其中零售網(wǎng)站是遭遇攻擊最多的,累計(jì)超過100億次。
很多企業(yè)已經(jīng)開始注重防范撞庫攻擊,但可能并不清楚撞庫攻擊已經(jīng)形成了一條完整產(chǎn)業(yè)鏈。近日,Recorded Future發(fā)布了一份撞庫攻擊分析報(bào)告,描述撞庫的現(xiàn)狀、常用工具以及應(yīng)對(duì)方法。
撞庫
簡單來說,撞庫就是黑客利用已經(jīng)泄露的賬號(hào)密碼,去其他網(wǎng)站或應(yīng)用程序中嘗試登錄的行為。撞庫主要利用的是人們?cè)诙鄠€(gè)平臺(tái)使用相同賬號(hào)密碼的行為習(xí)慣。首次大規(guī)模撞庫攻擊大約發(fā)生在2014年,當(dāng)時(shí)也是地下黑市迅速擴(kuò)張的時(shí)期。在幾個(gè)大型黑市中,售賣的賬號(hào)密碼多達(dá)數(shù)億。這讓撞庫形成了一個(gè)產(chǎn)業(yè)鏈,有人將撞庫得到的數(shù)據(jù)拿到暗網(wǎng)中售賣,而有人購買這些數(shù)據(jù)用于進(jìn)一步的撞庫與攻擊。相關(guān)的工具與教程也充斥在地下市場,催生新的生意。近幾年,信息泄露事件此起彼伏,更是源源不斷地給攻擊者提供了新籌碼,也讓其他尚未曝出信息泄露的的平臺(tái)陷入險(xiǎn)境。
在地下黑市中,攻擊者注冊(cè)成會(huì)員,可以上傳任意數(shù)量的經(jīng)過驗(yàn)證的數(shù)據(jù),而平臺(tái)會(huì)從每次銷售金額中扣除10%至15%的傭金。這些撞庫得來的數(shù)據(jù)除了電子郵件和密碼之外,還經(jīng)常包括帳戶持有人所在的城市、居住狀態(tài)、交易歷史、帳戶余額等。還有一些會(huì)根據(jù)購買者的需求給出定制化的數(shù)據(jù)。
如圖,除了被入侵的公司名稱,買家還可以查看賬戶可用的余額、積分;帳戶持有人的居住地、相關(guān)的支付卡、最后一筆交易的日期以及帳戶持有人登錄電子郵件的主機(jī)名等
最初,基于撞庫的數(shù)據(jù)交易并不多。但由于很多人都在多個(gè)平臺(tái)使用相同的賬號(hào)密碼,讓攻擊者看到可乘之機(jī)。調(diào)查顯示,撞庫的成功率在1%-3%之間。此外,可以反復(fù)使用相同的數(shù)據(jù)庫來破解幾十個(gè)不同的網(wǎng)站,從而獲得更高的利潤。網(wǎng)絡(luò)犯罪分子只需花費(fèi)較少的財(cái)力和精力,就能獲得高于成本至少20倍的利潤。
按照百分之一的成功率計(jì)算,撞庫攻擊的利潤比成本高出至少20倍
常用攻擊工具
一般情況下,黑客組織只要手握泄露的憑證(賬號(hào)密碼)、軟件 APP 和代理,就能發(fā)起撞庫攻擊。這些憑證大多來自于公開的泄露事件,也有一些是黑客在暗網(wǎng)中購買的。而用于解析已知憑證并遠(yuǎn)程在其他網(wǎng)站上登錄的軟件應(yīng)用也很容易獲取。報(bào)告顯示,黑客可以購買STORM、Black Bullet、Private Keeper、SNIPR、Sentry MBA和WOXY等工具用于撞庫。
STORM
STORM是用C語言編寫的,可免費(fèi)試用。技術(shù)特征如下:
支持FTP破解
同時(shí)進(jìn)行FTP和HTTP攻擊
并行會(huì)話
用于活動(dòng)分析的調(diào)試功能
支持最多2000萬封電子郵件的組合列表與密碼記錄
支持HTTP / HTTPS
支持SOCKS4和SOCKS5
代理自動(dòng)更新,自動(dòng)收集公共資源
關(guān)鍵字捕獲(高級(jí)帳戶詳細(xì)信息的收集)
JavaScript重定向
Black Bullet
Black Bullet最早出現(xiàn)于2018年,帶有暴力破解功能。其主要特點(diǎn)如下:
驗(yàn)證碼繞過
用戶可以選擇自行修改和創(chuàng)建新的配置文件
支持Selenium Webdriver
價(jià)格:30至50美元
Private Keeper
俄語區(qū)最受歡迎的工具,有在線商店。主要特點(diǎn)如下:
價(jià)格:0.8美元左右
并行會(huì)話
實(shí)用程序軟件,可自動(dòng)連接到私有或公共代理服務(wù)
SNIPR
用C語言編寫,支持在線撞庫、在線暴力破解。
配置文件:官方打包文件中包含超過100份配置文件
價(jià)格:20美元
Sentry MBA
有超過1000分配置文件
支持 HTTP/HTTPS
支持SOCKS4和SOCKS5
售價(jià)在5美元到20美元之間
WOXY
可用于驗(yàn)證郵箱賬號(hào)是否有效,并掃描郵箱內(nèi)容,提取重要信息(如禮品卡、在線訂閱內(nèi)容等)。同時(shí),可自動(dòng)重置密碼,劫持郵箱賬號(hào)。目前,網(wǎng)上已經(jīng)有該工具的免費(fèi)破解版。
應(yīng)對(duì)
1.除了使用公開的免費(fèi)代理進(jìn)一步混淆攻擊之外,犯罪分子通常會(huì)使用付費(fèi)代理服務(wù)。但是,分析表明,此類服務(wù)通常使用地理欺騙技術(shù)來創(chuàng)建大量IP池。這些域可能具有相同的IP地址,但會(huì)使用不同的子網(wǎng)。通過此類IP監(jiān)控Web流量活動(dòng),可以在一定程度上應(yīng)對(duì)撞庫攻擊。
2.很多遭遇過撞庫攻擊的組織都增加了多因素身份驗(yàn)證,增加撞庫的復(fù)雜程度,提升其時(shí)間成本,也是一種應(yīng)對(duì)方式。
3.持續(xù)監(jiān)控地下黑市和表網(wǎng)信息,了解企業(yè)自身相關(guān)的信息,并及時(shí)對(duì)泄露的內(nèi)容追蹤溯源,全面分析并了解更多攻擊指標(biāo),以便進(jìn)一步防護(hù)。
4.終端用戶可以使用密碼管理器,為每個(gè)在線帳戶設(shè)置獨(dú)一無二的強(qiáng)密碼,降低被撞庫的風(fēng)險(xiǎn)。