信息來(lái)源：FreeBuf

撞庫(kù)攻擊是如今最常見(jiàn)的攻擊，給企業(yè)帶來(lái)巨大威脅。撞庫(kù)帶來(lái)的威脅往往不是直接的，但是由此造成的信息泄露以及進(jìn)一步的滲透與攻擊會(huì)更為嚴(yán)重。Akamai的報(bào)告顯示，2018年五月到十二月期間，共發(fā)生了約280億次撞庫(kù)攻擊，其中零售網(wǎng)站是遭遇攻擊最多的，累計(jì)超過(guò)100億次。

很多企業(yè)已經(jīng)開始注重防范撞庫(kù)攻擊，但可能并不清楚撞庫(kù)攻擊已經(jīng)形成了一條完整產(chǎn)業(yè)鏈。近日，Recorded Future發(fā)布了一份撞庫(kù)攻擊分析報(bào)告，描述撞庫(kù)的現(xiàn)狀、常用工具以及應(yīng)對(duì)方法。

撞庫(kù)

簡(jiǎn)單來(lái)說(shuō)，撞庫(kù)就是黑客利用已經(jīng)泄露的賬號(hào)密碼，去其他網(wǎng)站或應(yīng)用程序中嘗試登錄的行為。撞庫(kù)主要利用的是人們?cè)诙鄠€(gè)平臺(tái)使用相同賬號(hào)密碼的行為習(xí)慣。首次大規(guī)模撞庫(kù)攻擊大約發(fā)生在2014年，當(dāng)時(shí)也是地下黑市迅速擴(kuò)張的時(shí)期。在幾個(gè)大型黑市中，售賣的賬號(hào)密碼多達(dá)數(shù)億。這讓撞庫(kù)形成了一個(gè)產(chǎn)業(yè)鏈，有人將撞庫(kù)得到的數(shù)據(jù)拿到暗網(wǎng)中售賣，而有人購(gòu)買這些數(shù)據(jù)用于進(jìn)一步的撞庫(kù)與攻擊。相關(guān)的工具與教程也充斥在地下市場(chǎng)，催生新的生意。近幾年，信息泄露事件此起彼伏，更是源源不斷地給攻擊者提供了新籌碼，也讓其他尚未曝出信息泄露的的平臺(tái)陷入險(xiǎn)境。

在地下黑市中，攻擊者注冊(cè)成會(huì)員，可以上傳任意數(shù)量的經(jīng)過(guò)驗(yàn)證的數(shù)據(jù)，而平臺(tái)會(huì)從每次銷售金額中扣除10％至15％的傭金。這些撞庫(kù)得來(lái)的數(shù)據(jù)除了電子郵件和密碼之外，還經(jīng)常包括帳戶持有人所在的城市、居住狀態(tài)、交易歷史、帳戶余額等。還有一些會(huì)根據(jù)購(gòu)買者的需求給出定制化的數(shù)據(jù)。

如圖，除了被入侵的公司名稱，買家還可以查看賬戶可用的余額、積分；帳戶持有人的居住地、相關(guān)的支付卡、最后一筆交易的日期以及帳戶持有人登錄電子郵件的主機(jī)名等

最初，基于撞庫(kù)的數(shù)據(jù)交易并不多。但由于很多人都在多個(gè)平臺(tái)使用相同的賬號(hào)密碼，讓攻擊者看到可乘之機(jī)。調(diào)查顯示，撞庫(kù)的成功率在1%-3%之間。此外，可以反復(fù)使用相同的數(shù)據(jù)庫(kù)來(lái)破解幾十個(gè)不同的網(wǎng)站，從而獲得更高的利潤(rùn)。網(wǎng)絡(luò)犯罪分子只需花費(fèi)較少的財(cái)力和精力，就能獲得高于成本至少20倍的利潤(rùn)。

按照百分之一的成功率計(jì)算，撞庫(kù)攻擊的利潤(rùn)比成本高出至少20倍

常用攻擊工具

一般情況下，黑客組織只要手握泄露的憑證（賬號(hào)密碼）、軟件 APP 和代理，就能發(fā)起撞庫(kù)攻擊。這些憑證大多來(lái)自于公開的泄露事件，也有一些是黑客在暗網(wǎng)中購(gòu)買的。而用于解析已知憑證并遠(yuǎn)程在其他網(wǎng)站上登錄的軟件應(yīng)用也很容易獲取。報(bào)告顯示，黑客可以購(gòu)買STORM、Black Bullet、Private Keeper、SNIPR、Sentry MBA和WOXY等工具用于撞庫(kù)。

STORM

STORM是用C語(yǔ)言編寫的，可免費(fèi)試用。技術(shù)特征如下：

支持FTP破解

同時(shí)進(jìn)行FTP和HTTP攻擊

并行會(huì)話

用于活動(dòng)分析的調(diào)試功能

支持最多2000萬(wàn)封電子郵件的組合列表與密碼記錄

支持HTTP / HTTPS

支持SOCKS4和SOCKS5

代理自動(dòng)更新，自動(dòng)收集公共資源

關(guān)鍵字捕獲（高級(jí)帳戶詳細(xì)信息的收集）

JavaScript重定向

Black Bullet

Black Bullet最早出現(xiàn)于2018年，帶有暴力破解功能。其主要特點(diǎn)如下：

驗(yàn)證碼繞過(guò)

用戶可以選擇自行修改和創(chuàng)建新的配置文件

支持Selenium Webdriver

價(jià)格：30至50美元

Private Keeper

俄語(yǔ)區(qū)最受歡迎的工具，有在線商店。主要特點(diǎn)如下：

價(jià)格：0.8美元左右

并行會(huì)話

實(shí)用程序軟件，可自動(dòng)連接到私有或公共代理服務(wù)

SNIPR

用C語(yǔ)言編寫，支持在線撞庫(kù)、在線暴力破解。

配置文件：官方打包文件中包含超過(guò)100份配置文件

價(jià)格：20美元

Sentry MBA

有超過(guò)1000分配置文件

支持 HTTP/HTTPS 

支持SOCKS4和SOCKS5

售價(jià)在5美元到20美元之間

WOXY

可用于驗(yàn)證郵箱賬號(hào)是否有效，并掃描郵箱內(nèi)容，提取重要信息（如禮品卡、在線訂閱內(nèi)容等）。同時(shí)，可自動(dòng)重置密碼，劫持郵箱賬號(hào)。目前，網(wǎng)上已經(jīng)有該工具的免費(fèi)破解版。

應(yīng)對(duì)

1.除了使用公開的免費(fèi)代理進(jìn)一步混淆攻擊之外，犯罪分子通常會(huì)使用付費(fèi)代理服務(wù)。但是，分析表明，此類服務(wù)通常使用地理欺騙技術(shù)來(lái)創(chuàng)建大量IP池。這些域可能具有相同的IP地址，但會(huì)使用不同的子網(wǎng)。通過(guò)此類IP監(jiān)控Web流量活動(dòng)，可以在一定程度上應(yīng)對(duì)撞庫(kù)攻擊。

2.很多遭遇過(guò)撞庫(kù)攻擊的組織都增加了多因素身份驗(yàn)證，增加撞庫(kù)的復(fù)雜程度，提升其時(shí)間成本，也是一種應(yīng)對(duì)方式。

3.持續(xù)監(jiān)控地下黑市和表網(wǎng)信息，了解企業(yè)自身相關(guān)的信息，并及時(shí)對(duì)泄露的內(nèi)容追蹤溯源，全面分析并了解更多攻擊指標(biāo)，以便進(jìn)一步防護(hù)。

4.終端用戶可以使用密碼管理器，為每個(gè)在線帳戶設(shè)置獨(dú)一無(wú)二的強(qiáng)密碼，降低被撞庫(kù)的風(fēng)險(xiǎn)。