撞庫攻擊是如今最常見的攻擊,給企業帶來巨大威脅。撞庫帶來的威脅往往不是直接的,但是由此造成的信息洩露以及進一步的滲透與攻擊會更為嚴重。Akamai的報告顯示,2018年五月到十二月期間,共發生了約280億次撞庫攻擊,其中零售網站是遭遇攻擊最多的,累計超過100億次。
很多企業已經開始注重防範撞庫攻擊,但可能並不清楚撞庫攻擊已經形成了一條完整產業鏈。近日,Recorded Future發佈了一份撞庫攻擊分析報告,描述撞庫的現狀、常用工具以及應對方法。
撞庫
簡單來說,撞庫就是黑客利用已經洩露的賬號密碼,去其他網站或應用程序中嘗試登錄的行為。撞庫主要利用的是人們在多個平臺使用相同賬號密碼的行為習慣。首次大規模撞庫攻擊大約發生在2014年,當時也是地下黑市迅速擴張的時期。在幾個大型黑市中,售賣的賬號密碼多達數億。這讓撞庫形成了一個產業鏈,有人將撞庫得到的數據拿到暗網中售賣,而有人購買這些數據用於進一步的撞庫與攻擊。相關的工具與教程也充斥在地下市場,催生新的生意。近幾年,信息洩露事件此起彼伏,更是源源不斷地給攻擊者提供了新籌碼,也讓其他尚未曝出信息洩露的的平臺陷入險境。
在地下黑市中,攻擊者註冊成會員,可以上傳任意數量的經過驗證的數據,而平臺會從每次銷售金額中扣除10%至15%的佣金。這些撞庫得來的數據除了電子郵件和密碼之外,還經常包括帳戶持有人所在的城市、居住狀態、交易歷史、帳戶餘額等。還有一些會根據購買者的需求給出定製化的數據。
如圖,除了被入侵的公司名稱,買家還可以查看賬戶可用的餘額、積分;帳戶持有人的居住地、相關的支付卡、最後一筆交易的日期以及帳戶持有人登錄電子郵件的主機名等
最初,基於撞庫的數據交易並不多。但由於很多人都在多個平臺使用相同的賬號密碼,讓攻擊者看到可乘之機。調查顯示,撞庫的成功率在1%-3%之間。此外,可以反覆使用相同的數據庫來破解幾十個不同的網站,從而獲得更高的利潤。網絡犯罪分子只需花費較少的財力和精力,就能獲得高於成本至少20倍的利潤。
按照百分之一的成功率計算,撞庫攻擊的利潤比成本高出至少20倍
常用攻擊工具
一般情況下,黑客組織只要手握洩露的憑證(賬號密碼)、軟件 APP 和代理,就能發起撞庫攻擊。這些憑證大多來自於公開的洩露事件,也有一些是黑客在暗網中購買的。而用於解析已知憑證並遠程在其他網站上登錄的軟件應用也很容易獲取。報告顯示,黑客可以購買STORM、Black Bullet、Private Keeper、SNIPR、Sentry MBA和WOXY等工具用於撞庫。
STORM
STORM是用C語言編寫的,可免費試用。技術特徵如下:
支持FTP破解
同時進行FTP和HTTP攻擊
並行會話
用於活動分析的調試功能
支持最多2000萬封電子郵件的組合列表與密碼記錄
支持HTTP / HTTPS
支持SOCKS4和SOCKS5
代理自動更新,自動收集公共資源
關鍵字捕獲(高級帳戶詳細信息的收集)
JavaScript重定向
Black Bullet
Black Bullet最早出現於2018年,帶有暴力破解功能。其主要特點如下:
驗證碼繞過
用戶可以選擇自行修改和創建新的配置文件
支持Selenium Webdriver
價格:30至50美元
Private Keeper
俄語區最受歡迎的工具,有在線商店。主要特點如下:
價格:0.8美元左右
並行會話
實用程序軟件,可自動連接到私有或公共代理服務
SNIPR
用C語言編寫,支持在線撞庫、在線暴力破解。
配置文件:官方打包文件中包含超過100份配置文件
價格:20美元
Sentry MBA
有超過1000分配置文件
支持 HTTP/HTTPS
支持SOCKS4和SOCKS5
售價在5美元到20美元之間
WOXY
可用於驗證郵箱賬號是否有效,並掃描郵箱內容,提取重要信息(如禮品卡、在線訂閱內容等)。同時,可自動重置密碼,劫持郵箱賬號。目前,網上已經有該工具的免費破解版。
應對
1.除了使用公開的免費代理進一步混淆攻擊之外,犯罪分子通常會使用付費代理服務。但是,分析表明,此類服務通常使用地理欺騙技術來創建大量IP池。這些域可能具有相同的IP地址,但會使用不同的子網。通過此類IP監控Web流量活動,可以在一定程度上應對撞庫攻擊。
2.很多遭遇過撞庫攻擊的組織都增加了多因素身份驗證,增加撞庫的複雜程度,提升其時間成本,也是一種應對方式。
3.持續監控地下黑市和表網信息,瞭解企業自身相關的信息,並及時對洩露的內容追蹤溯源,全面分析並瞭解更多攻擊指標,以便進一步防護。
4.終端用戶可以使用密碼管理器,為每個在線帳戶設置獨一無二的強密碼,降低被撞庫的風險。
*參考來源:Recorded Future,轉載自FreeBuf.COM
閱讀更多 Whitezero 的文章
