安全動態(tài)

Recorded Future撞庫攻擊報告 | 泄露信息過億,利潤高達20倍
來源:聚銘網絡    發(fā)布時間:2019-05-09    瀏覽次數(shù):
 

信息來源:FreeBuf

撞庫攻擊是如今最常見的攻擊,給企業(yè)帶來巨大威脅。撞庫帶來的威脅往往不是直接的,但是由此造成的信息泄露以及進一步的滲透與攻擊會更為嚴重。Akamai的報告顯示,2018年五月到十二月期間,共發(fā)生了約280億次撞庫攻擊,其中零售網站是遭遇攻擊最多的,累計超過100億次。

很多企業(yè)已經開始注重防范撞庫攻擊,但可能并不清楚撞庫攻擊已經形成了一條完整產業(yè)鏈。近日,Recorded Future發(fā)布了一份撞庫攻擊分析報告,描述撞庫的現(xiàn)狀、常用工具以及應對方法。

credential-stuffing.png

撞庫

簡單來說,撞庫就是黑客利用已經泄露的賬號密碼,去其他網站或應用程序中嘗試登錄的行為。撞庫主要利用的是人們在多個平臺使用相同賬號密碼的行為習慣。首次大規(guī)模撞庫攻擊大約發(fā)生在2014年,當時也是地下黑市迅速擴張的時期。在幾個大型黑市中,售賣的賬號密碼多達數(shù)億。這讓撞庫形成了一個產業(yè)鏈,有人將撞庫得到的數(shù)據拿到暗網中售賣,而有人購買這些數(shù)據用于進一步的撞庫與攻擊。相關的工具與教程也充斥在地下市場,催生新的生意。近幾年,信息泄露事件此起彼伏,更是源源不斷地給攻擊者提供了新籌碼,也讓其他尚未曝出信息泄露的的平臺陷入險境。

在地下黑市中,攻擊者注冊成會員,可以上傳任意數(shù)量的經過驗證的數(shù)據,而平臺會從每次銷售金額中扣除10%至15%的傭金。這些撞庫得來的數(shù)據除了電子郵件和密碼之外,還經常包括帳戶持有人所在的城市、居住狀態(tài)、交易歷史、帳戶余額等。還有一些會根據購買者的需求給出定制化的數(shù)據。

credential-stuffing-attacks-1-1.png

如圖,除了被入侵的公司名稱,買家還可以查看賬戶可用的余額、積分;帳戶持有人的居住地、相關的支付卡、最后一筆交易的日期以及帳戶持有人登錄電子郵件的主機名等

最初,基于撞庫的數(shù)據交易并不多。但由于很多人都在多個平臺使用相同的賬號密碼,讓攻擊者看到可乘之機。調查顯示,撞庫的成功率在1%-3%之間。此外,可以反復使用相同的數(shù)據庫來破解幾十個不同的網站,從而獲得更高的利潤。網絡犯罪分子只需花費較少的財力和精力,就能獲得高于成本至少20倍的利潤。

2.png

按照百分之一的成功率計算,撞庫攻擊的利潤比成本高出至少20倍

常用攻擊工具

一般情況下,黑客組織只要手握泄露的憑證(賬號密碼)、軟件 APP 和代理,就能發(fā)起撞庫攻擊。這些憑證大多來自于公開的泄露事件,也有一些是黑客在暗網中購買的。而用于解析已知憑證并遠程在其他網站上登錄的軟件應用也很容易獲取。報告顯示,黑客可以購買STORM、Black Bullet、Private Keeper、SNIPR、Sentry MBA和WOXY等工具用于撞庫。

STORM

STORM是用C語言編寫的,可免費試用。技術特征如下:

支持FTP破解

同時進行FTP和HTTP攻擊

并行會話

用于活動分析的調試功能

支持最多2000萬封電子郵件的組合列表與密碼記錄

支持HTTP / HTTPS

支持SOCKS4和SOCKS5

代理自動更新,自動收集公共資源

關鍵字捕獲(高級帳戶詳細信息的收集)

JavaScript重定向

3.png

Black Bullet

Black Bullet最早出現(xiàn)于2018年,帶有暴力破解功能。其主要特點如下:

驗證碼繞過

用戶可以選擇自行修改和創(chuàng)建新的配置文件

支持Selenium Webdriver

價格:30至50美元

4.png

Private Keeper

俄語區(qū)最受歡迎的工具,有在線商店。主要特點如下:

價格:0.8美元左右

并行會話

實用程序軟件,可自動連接到私有或公共代理服務

5.png

SNIPR

用C語言編寫,支持在線撞庫、在線暴力破解。

配置文件:官方打包文件中包含超過100份配置文件

價格:20美元

6.png

Sentry MBA

有超過1000分配置文件

支持 HTTP/HTTPS 

支持SOCKS4和SOCKS5

售價在5美元到20美元之間

7.png

WOXY

可用于驗證郵箱賬號是否有效,并掃描郵箱內容,提取重要信息(如禮品卡、在線訂閱內容等)。同時,可自動重置密碼,劫持郵箱賬號。目前,網上已經有該工具的免費破解版。

8.png

應對

1.除了使用公開的免費代理進一步混淆攻擊之外,犯罪分子通常會使用付費代理服務。但是,分析表明,此類服務通常使用地理欺騙技術來創(chuàng)建大量IP池。這些域可能具有相同的IP地址,但會使用不同的子網。通過此類IP監(jiān)控Web流量活動,可以在一定程度上應對撞庫攻擊。

2.很多遭遇過撞庫攻擊的組織都增加了多因素身份驗證,增加撞庫的復雜程度,提升其時間成本,也是一種應對方式。

3.持續(xù)監(jiān)控地下黑市和表網信息,了解企業(yè)自身相關的信息,并及時對泄露的內容追蹤溯源,全面分析并了解更多攻擊指標,以便進一步防護。

4.終端用戶可以使用密碼管理器,為每個在線帳戶設置獨一無二的強密碼,降低被撞庫的風險。

 
 

上一篇:聚銘網絡榮譽成為南京大數(shù)據產業(yè)協(xié)會會員

下一篇:2019年05月09日 聚銘安全速遞