在网络威胁领域,暴力破解攻击仍然是网络犯罪分子非常喜爱且有利可图的攻击方法。,黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,由于许多用户重复使用相同的用户名和密码,攻击者可以使用撞库攻击获得对其他网站上用户帐户未经授权的访问。尝试批量登录其他网站后,得到一系列可以登录的用户。因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
对网络犯罪分子而言,撞库是一种利润丰厚的活动,但对企业而言,撞库则是代价高昂的安全事件。根据 Ponemon Institute 的数据,撞库的后果包括欺诈相关损失、应用程序停机和客户流失,由此而造成的成本可达到每年 600 万美元到 5400 万美元不等。
撞库是一种采用自动机制的网络攻击,黑客使用爬虫程序,不断尝试使用购买自暗网的凭据,企图获得网站访问权限。由于人们经常会为多个帐户重复使用相同的密码,因此这类攻击的成功几率很高。在攻击者发现一组有效的凭据后,他们可能会使用这些凭据非法访问公司网络,或者将经过验证的凭据出售给其他犯罪分子,供其用于进行数据盗窃、帐户接管 (ATO) 和其他欺诈活动。
遗憾的是,撞库攻击没有规律可言,因此不容易识别和阻止,也非常难以拦截。撞库攻击往往采用自动化手法,所以爬虫程序管理技术通常是应对此类攻击的最佳防御机制。
撞库产业链形成的原因
1.用户账户密码重复利用
很多用户会在不同网站使用同一组用户名和密码,这为撞库攻击提供了条件,使账户资料可以重复使用。
2.大量账号泄露
通过数据库被入侵、木马病毒等方式,许多网站和服务的用户账户不断被泄露,这成为撞库攻击的资源。
3.攻击技术简单
使用Python等语言可以轻松编写撞库攻击脚本,实现自动批量验证账户,技术门槛不高。
4.攻击成本极低
撞库攻击只依赖已泄露的账号,不需要自行获取,所以攻击成本很低。
5.攻击利润丰厚
通过撞库成功接管虚拟货币账户就可以直接盗取资产,获利可观。
6.地下交易发达
暗网论坛存在发达的账户交易市场,可以轻松购买各类已泄露账户。
7.防护意识淡薄
许多用户和企业没有意识到撞库威胁的严重性,导致防范不足。
8.攻击隐蔽性强
撞库攻击难以被察觉,增加了攻击的成功率和受益期。
撞库攻击的危害
1.账户接管
获得他人账户的登录控制权,成为账户的实际操作者,可以进行各种账户内的活动,而不被账户原主发现。
2.个人信息盗取
查看账户内的私人信息,如联系方式、家庭地址、信用卡信息等,继续进行身份欺诈或账户绑定。
3.身份盗用
使用盗取的他人身份信息,进行各类欺诈行为,如金融账户开设、贷款申请、手机绑定等。
4.盗刷购物充值
使用他人账户进行各类虚拟商品的消费购买,或对游戏、应用进行虚拟货币的充值购买。
5.持续控制账户
作为后门方式长期控制账户,进行持续的违规操作,账户原主通常难以察觉或断掉控制。
6.数据毁损破坏
通过账户权限进一步登入系统,删除或修改重要数据,造成数据损坏、服务瘫痪等破坏效果。
7.利用高权限账户
接管管理员等权限级别的系统账户,进行更大范围的违规操作。
撞库攻击的运作机制
撞库攻击者利用人们的不良密码使用习惯,伺机获得公司网络、应用程序或服务的访问权限。知名度较高的热门网站最有可能成为此类攻击的目标,攻击者可在暗网上找到因数据泄露而外泄的相关用户凭据。在获得窃取而来的用户名和密码组合列表后,攻击者会反复尝试使用这些凭据登录网站。一旦登录成功,他们就会接管帐户,借以谋取钱财,或是在暗网上将经过验证的凭据销售给其他犯罪分子。
撞库攻击通常会依靠爬虫程序或自动化工具,反复尝试使用盗用的凭据访问网站。如果黑客使用一个爬虫程序从一个 IP 地址反复尝试登录,那么就能比较轻松地使用标准 IP 流量管理工具识别和拦截攻击。但如果登录尝试来自成百上千个不同的 IP 地址(使用自动化工具或僵尸网络就能达到这种效果),拦截攻击的难度就要更大。
众所周知,撞库攻击很难检测。在绕过防御机制、冒充授权客户时,攻击者经常会变换手法。公司很难区分撞库攻击与输错密码或用错凭据的客户。对撞库攻击防御解决方案而言,最大的难题是误报,因为任何公司都不想错误地阻止客户登录其帐户,并因此引起客户不满。
如何防护撞库攻击?
据统计,撞库攻击的成功率通常为1%到3%,但动辄数千万甚至上亿的泄露数据,最终成功的攻击可达上万,对于企业和个人来说危害性非常大。下面这几招,可以作为防撞库攻击的参考和思路:
1.避免账号密码复用
用户不要在不同系统重复使用同一组账号密码,可以降低撞库扩散面。
2.强化密码复杂度
增加密码长度,要求混合大小写字母、数字和特殊符号,设置密码过期策略,降低撞库成功率。
3.验证码
验证码是防御自动化工具的第一道门槛,单次撞库期间的登录请求量至少是百万级别的,这么大的量级一定是程序自动操作。验证码用于识别是人还是机器,在拦截撞库中发挥很大作用。通过增加验证码套数、更换验证码类型等方式,能够很好地阻止攻击。不过需要防止验证码被破解的问题,可以适当增加验证码生成的难度。
4.登录策略限制
基于IP、用户常驻城市、用户常用设备、登录频率、登录结果等信息,以策略的方式对登录行为进行限制。常见的策略例子如:短时间内,同一IP上登录了多个不在常驻城市且不在常用设备上的用户,并且登录结果全是失败,可以认为这些登录全是撞库并且是危险IP。
5.威胁检测与分析
威胁检测与分析依赖云端强大的基础数据收集系统 ,结合自主研发的多款、累计数十种提取方法的核心情报提取系统 ,快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据。为各种不同类型的业务提供独特的价值。它的价值体现是有:
办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测:
精准发现内网的被控主机,包括挖矿、勒索、后门、APT等,并提供佐证失陷的样本取证信息、处置建议等,促进企业快速响应处置风险
SOC/SIEM等系统威胁检测能力增强:
将日志中的域名/IP提取出来通过分析,发现可疑时间,并结合人工分析通过内部工单系统进行日常运营,增强威胁发现和检测能力
Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别:
精准发现相关IP是否属于扫描、撞库、漏洞利用、僵尸网络等风险,同时进一步提供该IP的基础信息,如代理、网关出口、CDN、移动基站等
企业资产发现:
通过高级查询,快速发现企业的域名、子域名、IP等资产的信息变动情况,管控资产暴露产生的数据泄露、服务暴露等相关风险
内外部安全事件的关联拓线及溯源追踪:
对内外部安全事件中的域名/IP/Hash进行关联分析,通过域名的PassiveDNS以及Whois等数据,发现背后攻击者的姓名、邮箱、手机号码等真实或者虚拟身份
防撞库不是依靠单一的功能就能实现,需要多种手段叠加之后才能达到预期的效果。建议企业进行多层次纵深防御,从基本的密码管理,到账户管理,再到安全验证,每一个层面都可能成为企业安全最关键的一道防护墙。