APP下载

密码泼洒攻击大增,管理员、CxO账号为主要目标

消息来源:baojiabao.com 作者: 发布时间:2024-11-26

报价宝综合消息密码泼洒攻击大增,管理员、CxO账号为主要目标

情境示意图,图片来源/微软

微软侦测与回应小组(Detection and Response Team,DART)警告,今年骇客利用密码泼洒(password spray)手法来攻击企业的情形大增,也对企业提出防御建议。

微软DART本周公布密码泼洒的研究报告,说明此类攻击的特征及攻击者偏好。密码泼洒是一种利用大量使用者账号名单,和常见密码配对以尽可能猜出大量使用者账号及密码组合。它和暴力破解不太一样,后者是以字典攻击或文字列表破解小量的用户账号。

高明的密码泼洒有2种特质,一是低调、缓慢,最高竿的攻击者会使用不同IP地址同时间,以很少次猜测来攻击多个账号。二是利用重复使用的密码,攻击者从暗网上搜集外泄的用户登入凭证,利用“凭证填充(credential stuffing)”手法来存取受害者重复使用同一组账号密码的不同网站。

微软说明,密码泼洒攻击常使用的user agent string包括BAV2ROPC、 CBAinPROD、CBAinTAR,使用REST API的密码泼洒攻击则以无GUI界面的(headless)浏览器,像Firefox、Chrome来攻击API端点。此外攻击者常使用Python呼叫模组产生网站呼叫,无需使用者动作。

使用不安全或老旧验证协定的App也是此类攻击目标,例如Exchange ActiveSync、IMAP/POP3/SMTP Auth及Exchange Autodiscover,因为它们不强制使用多因素验证(MfA),但最近也有些攻击者锁定使用REST API的应用。

微软也说明特别容易遭密码泼洒攻击的用户类型,供企业在检查时特别注意。其中一类是管理员权限的账号,包括安全管理员、Exchange服务、SharePoint、支付系统及Helpdesk、使用者管理员、验证管理员、公司管理员、全域管理员及条件式存取(conditional access)管理员。其次则是CxO等公司高层账号。

微软建议,若管理员发现网络log中有匿名或可疑IP、陌生国家的连线等现象时,就要留心是否已遭到密码泼洒。

2021-10-28 13:47:00

相关文章