每当我们谈论网络攻击时,攻击者都会通过三种基本方式进入受害者网络:
网络钓鱼:攻击者利用电子邮件渗透网络的能力;一旦攻击成功感染端点,就可能借此在网络中建立立足点。
漏洞:攻击者可利用零日漏洞或已知但尚未修补的漏洞,获取系统和应用程序的更高权限,并借此访问网络的其他部分。
RDP/ 远程访问:攻击者利用已泄露的凭据或暴力破解密码攻击,将其作为进入网络的通道。
企业通常关注上述前两个攻击途径。在讨论第三种方式时,他们通常关注 RDP本身,而不是攻击者进入远程登录会话后身份验证机制有多不安全。
因此,本文将探讨当攻击者发现并利用 远程访问会话(无论是 RDP 还是其他方式,本文统称为 远程访问)时会发生什么。
我们将介绍攻击者如何通过暴力破解攻击获取凭据、这种攻击有多普遍、为何用户实际上让攻击者更容易得手,以及您可以采取哪些措施。
什么是暴力破解攻击?
暴力破解攻击是一种网络攻击,攻击者通过反复试错来猜测或破解用户的密码、登录凭据或加密密钥。这种攻击方法会系统地尝试各种可能的字符、数字和特殊字符组合,以未经授权访问用户的账户、系统或网络。
暴力破解攻击既可以手动实施,也可以借助自动化软件工具实施,因此很受黑客欢迎。
暴力破解攻击的类型
暴力破解攻击主要有以下几种类型:
简单暴力破解攻击:通过尝试字母、数字和特殊字符的所有可能组合来猜测用户密码。
反向暴力破解攻击:攻击者从一个已知密码出发,尝试找出与之匹配的用户名。
字典攻击:攻击者尝试一系列单词、短语和常见密码来猜测用户密码。
混合暴力破解攻击:这种攻击将字典攻击与传统暴力破解攻击结合起来。
凭据填充:使用盗取的用户名和密码列表,未经授权访问多个账户。
暴力破解攻击背后的动机
了解暴力破解攻击背后的动机,对于评估风险和实施有效的安全措施至关重要。网络犯罪分子很少无的放矢。他们的目标通常包括经济利益、间谍活动或扰乱运营。例如,医疗保健或金融等处理敏感数据的行业面临更高的间谍活动风险,而规模较小的企业则可能因 IT 预算有限,成为勒索软件或凭据盗窃的目标。
下面将详细介绍攻击者为何会采用暴力破解手段:
以牟利为目的窃取凭据
暴力破解攻击背后最常见的原因之一是窃取用户凭证,如用户名和密码。一旦获得这些凭据,就可以在暗网市场上出售,通常作为大型数据转储的一部分,或用于未经授权访问有价值的系统。例如,攻击者可能会出售组织内部系统的登录详细信息,使其他人能够发起勒索软件或数据盗窃等有针对性的攻击。
勒索软件部署
暴力破解攻击经常被用作部署勒索软件的切入点。攻击者通过被破坏的凭据进入系统,对关键数据进行加密,并索要赎金。远程工作的增加放大了这一动机,因为远程工作通常依赖于远程桌面协议(RDP)或其他远程访问解决方案,而这些解决方案很容易受到暴力破解攻击。
间谍活动和数据提取
暴力破解攻击被网络犯罪分子使用,其动机与企业或国家支持的间谍活动有关。它们允许攻击者渗透网络并提取敏感数据。攻击者可以将知识产权、商业机密或机密信息作为攻击目标。他们使用薄弱的身份验证方法访问高价值系统。
系统中断
有时,攻击的目的并不是窃取数据或金钱,而是破坏组织的运营。暴力破解攻击可能是更大规模攻击活动的一部分,目的是使系统超载、造成停机或削弱客户信任。在这些情况下,攻击者的目的是破坏组织的声誉或能力,而不是获取直接的经济利益。
测试和利用安全弱点
暴力破解攻击通常可作为侦察手段。攻击者可以利用它来探测组织的防御体系,找出身份验证系统的薄弱点。然后,这些信息可用于设计更复杂、更有针对性的攻击。
跨平台重复使用凭证
许多人在多个账户中重复使用密码。网络犯罪分子知道这一点后,就会利用暴力攻击不仅访问一个账户,还可能访问整个互连服务网络。这种策略被称为 “凭据填充”,当一个密码泄露可能导致更广泛的漏洞时,这种策略就显得尤为棘手。
初始接入中介
在某些情况下,初始访问掮客(专门入侵网络并将访问权出售给其他攻击者的网络犯罪分子)会实施暴力攻击。这些掮客利用薄弱的身份验证系统进入网络,并将凭证出售给那些想实施大规模攻击(如间谍活动或勒索软件)的人。
了解这些目标可以帮助企业确定防御措施的优先次序,如加强身份验证、日常安全审计和员工培训等,从而有效减少漏洞。
在线和离线暴力攻击
暴力破解攻击分为在线和离线两大类,每一类都会带来独特的挑战。
在线暴力攻击
这些攻击以实时系统或网络为目标。攻击者使用自动化工具反复猜测密码。这些攻击是实时发生的,因此可以通过监控异常登录尝试(如来自单一 IP 地址的重复失败)来进行检测。
缓解策略包含: 限制速率以减缓尝试速度、验证码挑战以阻止机器人、多因素身份验证(MFA)以提高安全性。
离线暴力攻击
离线攻击涉及在不与实时系统交互的情况下破解窃取的密码哈希值。攻击者使用功能强大的工具来测试密码组合,因此很难被发现。
防御措施包含: 使用加盐哈希值确保密码存储的安全性,以及使用强大的加密功能。定期更新系统也是修补漏洞的必要手段。
为什么暴力攻击是个问题?
每当您看到关于 RDP 卷入网络攻击的新闻或行业统计数据时时,请记住,在攻击发生时,攻击者要么有可用的用户名和密码,要么没有。
在攻击者从零开始的情况下(如初始访问代理),攻击者的目标不仅是获得访问权,还要获得一套有效的凭据,这套凭据将用于当前的攻击,或在暗网上出售给另一个寻求初始访问权的攻击者。
这意味着有时攻击者需要使用暴力密码攻击来找出与给定用户名相关的密码。
暴力攻击工具的设计目的是使猜测凭证的过程自动化,让攻击者更快、更高效地完成任务。
MITRE ATT&CK Framework(读作 “ATTACK”)概述了网络犯罪分子使用的几乎所有恶意战术、技术和程序,根据该框架,暴力攻击方法有四种类型:
密码猜测:根据常用密码列表,使用重复或迭代机制系统地猜测密码。
密码喷涂: 攻击者获取用户名列表,并尝试使用相同密码登录所有用户名。
密码破解:使用彩虹表或猜测密码并计算哈希值来破解密码哈希值。
凭证填充:使用从无关账户漏洞转储中获取的凭证访问目标账户。
决定使用一种方法还是另一种方法,主要取决于攻击者是否知道受害者网络上的任何用户名和/或密码。
但是,暴力密码攻击到底有多普遍呢?
根据英国网络保险公司 Hiscox 的数据, 在网络保险理赔中,17% 的勒索软件攻击始于暴力攻击。这几乎是五分之一。在 2022 年,我们还看到了大量的暴力破解攻击,其中包括 东南亚地区针对远程工作者的攻击达 4700 万次。
因此,这是一个非常现实的问题……原因很多。
1.弱密码来源众多
用于猜测、喷射或填充攻击的密码通常有多种来源。其中一个主要来源是暴露用户名和电子邮件地址的数据泄露。例如,2016 年 5 月 LinkedIn 的漏洞泄露了 1.64 亿个电子邮件地址和密码,成为此类攻击的重要来源。
另一个来源是对常用密码进行编目的 Pwned 数据库,其中许多密码简单得令人吃惊(如 “P@ssw0rd!”)。此外,攻击者还经常通过关注特定用户来利用有针对性的猜测机会,从而增加找到弱密码或可预测密码的可能性。
根据 Spycloud 的《2023 年身份暴露报告》、 在外泄事件中收集到的被泄露密码中,有 700 多万个涉及爱情或家庭主题 (例如,如果我知道你配偶的名字,我就可以从这里开始猜测)。这些攻击通常涉及系统地测试各种密码组合,以利用弱密码或常用密码。
2.用户行为也会造成安全性风险
根据 Spycloud 的同一份报告,在 2022 年的漏洞中,72% 的用户在重复使用以前暴露的密码,其中美国有 61% 的用户在重复使用密码。
密码平均被重复使用 13 次. 部分原因是当今用户需要维护登录的系统、应用程序和平台数量众多。小型企业平均有 85 个密码,而大型企业只有 25 个。
使用复杂的密码可以大大提高账户的安全性,使攻击者更难成功入侵账户。
如今,攻击者可以利用强大的计算能力 每秒测试多达 10 亿个密码在暴力攻击中 密码安全性至关重要。
3.远程访问可为攻击者提供未经授权的访问途径
让我们把远程访问也纳入讨论,因为暴力破解攻击只是获得未经授权访问的手段;真正的薄弱点在于贵组织的混合办公员工如何访问企业资源。
一些组织仍然(仍然!)依赖于 RDP(这是一个在网络安全方面死而不僵的协议!)。最近的一份报告显示,在所分析的事件中,90% 都存在对 RDP 的滥用,这使其成为勒索软件攻击的关键攻击向量。即使您没有使用 RDP,其他远程访问应用程序同样可能带来重大风险——16% 的数据泄露事件始于 RDP 或其他远程访问应用程序遭到入侵。
这意味着,任何远程访问方式都可能成为网络犯罪分子的攻击途径。由于50%的组织认为自己在降低远程访问风险方面并不十分有效,因此,仅靠简单密码并不足够;必须实施更强的身份验证措施,才能更有效地保障远程访问安全。
防范暴力破解攻击的最佳做法
防范暴力破解攻击需要采用多层防护方法,将强有力的策略、技术保障措施和用户教育结合起来。多因素身份验证(MFA)虽然是防御的基础,但还需要配套实施全面策略,才能建立更积极主动的安全态势。以下是帮助您主动防范暴力破解攻击的方法:
建立健全的密码政策
强大的密码策略是任何暴力破解防范策略的基础。确保所有用户遵守这些最佳实践:
长度和复杂性:要求密码长度至少为 12 个字符,包含大小写字母、数字和特殊字符。
定期更新:执行密码过期策略,限制攻击者可乘之机。
避免重复使用:实施防止用户重复使用旧密码的系统。
禁止使用常用密码:使用工具禁止使用 “123456 “或 “password “等弱密码或容易被猜到的密码。
实施安全监控工具
实时监控和告警有助于在暴力破解攻击得逞之前发现并响应。可考虑部署以下工具:
入侵检测与防御系统(IDPS):Snort 或 Suricata 等工具可检测异常登录尝试并阻止可疑活动。
SIEM 解决方案:安全信息和事件管理(SIEM)系统,如 Splunk 或 LogRhythm,可集中管理日志数据,并帮助识别潜在的暴力破解活动。
账户锁定阈值:配置系统,在登录失败达到特定次数后暂时锁定账户。
对员工开展安全培训
人为错误是攻击者常常利用的漏洞。持续培训可确保员工具备识别和降低风险的能力:
网络钓鱼意识:培训员工识别可能先于暴力破解攻击发生的网络钓鱼尝试。
密码使用规范:强调工作和个人账户都应使用唯一且高强度密码的重要性。
报告流程:鼓励员工及时报告可疑的登录尝试或系统行为。
利用技术配置
技术保障措施可显著增加攻击者实施暴力破解攻击的难度。可实施以下措施:
速率限制:在一系列登录失败后,减缓尝试速度或阻止相关 IP。
验证码集成:在登录页面加入验证码挑战,防止自动化登录尝试。
IP 白名单:限制仅允许特定 IP 范围登录,尤其适用于敏感系统。
安全存储密码哈希:使用 Argon2 等强密码哈希算法安全存储密码哈希值。
密码之外的远程访问
暴力破解攻击仍然构成重大风险,但积极主动的方法和预防策略可以大大降低其影响。通过实施多因素身份验证 (MFA)、执行强有力的密码策略并利用高级安全工具,企业可以建立强大的防御体系,防止未经授权的访问。
即使贵组织依赖于 RDP 等较老或较脆弱的远程访问方法,要求对所有登录进行 MFA 也是关键的第一步。除了 MFA 之外,采用高强度加密、对密码哈希值加盐、设置登录尝试限制以及在多次失败后使用验证码挑战等策略,都能在暴力破解攻击成功之前将其挫败。
此外,对员工进行教育、监控可疑活动、部署入侵检测系统等工具以实时识别潜在威胁也至关重要。我们的目标不仅仅是应对攻击,还要防止攻击的发生。
对于那些将这篇文章读完的人来说,所得到的启示是显而易见的:可以通过周密设计的分层安全措施来降低暴力破解攻击带来的风险。从 MFA 开始——这是保障远程访问安全并保护贵组织的最简单且最有效的方法之一。加强防御刻不容缓,现在就行动起来吧。
