暴力破解攻擊是最常見(jiàn)的攻擊類(lèi)型之一。在2022年第一季度，暴力破解攻擊占所有攻擊的51%！這些攻擊通常為其他類(lèi)型的威脅鋪平道路，并對(duì)組織造成毀滅性的后果。

API上的暴力破解攻擊問(wèn)題更為嚴(yán)重，因?yàn)锳PI以編程方式公開(kāi)數(shù)據(jù)、功能和業(yè)務(wù)邏輯。組織需要立即采取行動(dòng)阻止這些攻擊，以保護(hù)數(shù)字資產(chǎn)免受攻擊者的侵害。

什么是暴力破解攻擊？

暴力破解攻擊（Brute force attack）是常見(jiàn)、簡(jiǎn)單且易于編排的憑據(jù)破解/密碼猜測(cè)攻擊類(lèi)型。在這些攻擊中，威脅參與者使用試錯(cuò)法來(lái)解碼密碼、登錄憑據(jù)、API密鑰、SSH登錄、加密密鑰、隱藏的網(wǎng)頁(yè)和內(nèi)容。在此基礎(chǔ)上，他們會(huì)獲得對(duì)應(yīng)用程序、API、帳戶(hù)、系統(tǒng)和網(wǎng)絡(luò)的未經(jīng)授權(quán)訪(fǎng)問(wèn)。

攻擊者會(huì)不斷猜測(cè)用戶(hù)名和密碼，直到找到有效的組合。他們會(huì)系統(tǒng)地嘗試所有可能的字母、數(shù)字和符號(hào)組合，直到破解密碼。在此過(guò)程中，攻擊者可能會(huì)使用手動(dòng)或自動(dòng)方法注入用戶(hù)名密碼并找到正確的憑據(jù)。

暴力破解 vs. 其他破解技術(shù)

暴力破解攻擊不使用智能策略來(lái)破解憑據(jù)；他們使用一種簡(jiǎn)單的試錯(cuò)法，通過(guò)竭盡全力地嘗試各種字符組合來(lái)破解憑據(jù)，直到找到一個(gè)允許他們進(jìn)入的憑據(jù)組合。這是暴力破解與其他填充和破解方法的主要區(qū)別。

在憑據(jù)填充（credential stuffing）攻擊中，攻擊者會(huì)拋出真實(shí)的登錄憑據(jù)來(lái)欺騙API/應(yīng)用程序，使其相信他們是合法用戶(hù)。為此，他們會(huì)使用竊取的憑據(jù)和密鑰。

而在暴力破解攻擊中，攻擊者反復(fù)嘗試不同的字符組合，直到他們獲得對(duì)API或應(yīng)用程序的訪(fǎng)問(wèn)權(quán)。

暴力破解攻擊的類(lèi)型

· 簡(jiǎn)單的暴力破解攻擊，攻擊者會(huì)使用簡(jiǎn)單、系統(tǒng)的方法來(lái)猜測(cè)和破解憑據(jù)，而不依賴(lài)于智能策略或邏輯。自動(dòng)化工具和腳本通常用于自動(dòng)猜測(cè)憑據(jù)。

· 字典攻擊（Dictionary attack），攻擊者使用包含單詞、字符串和短語(yǔ)的公共數(shù)據(jù)庫(kù)——字典。它們從字典中的單詞/短語(yǔ)開(kāi)始，并嘗試字母和字符的組合來(lái)確定登錄憑據(jù)。

· 混合暴力破解（Hybrid brute force）攻擊，攻擊者將簡(jiǎn)單的暴力破解攻擊和字典攻擊結(jié)合在一起的攻擊形式。他們使用外部邏輯來(lái)確定可能有更高成功概率的密碼變體，然后修改這些變體以嘗試各種組合。

· 彩虹表攻擊（Rainbow table attack），攻擊者會(huì)使用彩虹表——一個(gè)預(yù)先計(jì)算的明文密碼表/字典和與之對(duì)應(yīng)的哈希函數(shù)，并嘗試逆向加密哈希函數(shù)。

· 逆向暴力破解（Reverse brute force）攻擊，攻擊者使用常見(jiàn)/已知密碼或密碼集合，通過(guò)嘗試不同的組合來(lái)找出可能的用戶(hù)名/帳號(hào)。

· 密碼噴灑（Password spraying）攻擊，攻擊者使用常用的密碼（如admin或123456），并在不同的帳戶(hù)上使用它們，而不是嘗試不同的密碼組合。這通常在有帳戶(hù)鎖定策略的情況下使用，攻擊者只能有限地嘗試破解憑據(jù)。

· 僵尸網(wǎng)絡(luò)暴力破解（Botnet brute force）攻擊，攻擊者利用強(qiáng)大的機(jī)器人來(lái)暴力破解API，應(yīng)用程序和網(wǎng)絡(luò)。對(duì)于攻擊者來(lái)說(shuō)，暴力破解的最大缺點(diǎn)之一是需要幾天甚至幾個(gè)月的時(shí)間來(lái)破解憑據(jù)，尤其是更復(fù)雜的憑據(jù)。加上速率限制和賬戶(hù)鎖定政策等額外的安全措施，挑戰(zhàn)就更大了。但僵尸網(wǎng)絡(luò)有助于克服這些挑戰(zhàn)。它們?yōu)楣粽咛峁┝烁哂?jì)算能力，幫助他們避開(kāi)傳統(tǒng)的防御機(jī)制，同時(shí)為攻擊過(guò)程注入了速度和效率。

API中的暴力破解

API中的暴力破解是指威脅參與者利用工具不斷向API發(fā)送請(qǐng)求，以猜測(cè)正確的憑據(jù)組合。其最終目標(biāo)可能是任何東西，從通過(guò)暴力破解API身份驗(yàn)證表單竊取帳戶(hù)到通過(guò)暴力破解登錄泄露敏感數(shù)據(jù)。

運(yùn)行原理

傳統(tǒng)的暴力破解攻擊通常使用巨大的人力來(lái)破解憑據(jù)。但是，考慮到安全措施和破解單個(gè)復(fù)雜密碼所需的時(shí)間，攻擊者如今更傾向于利用自動(dòng)化工具、腳本和強(qiáng)大的僵尸網(wǎng)絡(luò)來(lái)暴力破解API、應(yīng)用程序和網(wǎng)絡(luò)。

這些工具和機(jī)器人可以發(fā)送大量的服務(wù)器請(qǐng)求，每小時(shí)進(jìn)行數(shù)十萬(wàn)次登錄嘗試。它們可以在幾分鐘內(nèi)猜測(cè)并找到有效的組合，而無(wú)需耗費(fèi)數(shù)周或數(shù)個(gè)月時(shí)間。

使用自動(dòng)化工具和機(jī)器人進(jìn)行API暴力破解攻擊的三個(gè)主要步驟：

1. 攻擊者識(shí)別他們想要攻擊的API、應(yīng)用程序或站點(diǎn)的目標(biāo)URL，并在暴力破解工具中預(yù)先配置參數(shù)值；

2. 他們使用工具/機(jī)器人運(yùn)行暴力破解過(guò)程，以試圖識(shí)別所有有效的憑據(jù)；

3. 在識(shí)別成功的登錄憑據(jù)后，攻擊者登錄并執(zhí)行他們的命令。

以下是攻擊者用于暴力破解的一些常用工具： 

· THC-Hydra使用簡(jiǎn)單或基于字典的方法運(yùn)行大量密碼組合來(lái)破解網(wǎng)絡(luò)密碼協(xié)議。

· Aircrack-ng使用一個(gè)廣泛使用的密碼字典來(lái)入侵無(wú)線(xiàn)網(wǎng)絡(luò)。

· John the Ripper是一個(gè)使用字典詳盡地運(yùn)行可能組合的工具。

· Hashcat是最快的基于CPU的破解工具，可以運(yùn)行簡(jiǎn)單的暴力破解、基于規(guī)則的攻擊和混合攻擊。

· Ncrack幫助破解網(wǎng)絡(luò)認(rèn)證，支持多種攻擊類(lèi)型。

· RainbowCrack是利用彩虹表的最快破解工具之一。

現(xiàn)實(shí)案例

加拿大稅務(wù)局在2020年遭遇過(guò)一次暴力破解攻擊，導(dǎo)致1.1萬(wàn)個(gè)CRA賬戶(hù)和其他政府相關(guān)服務(wù)賬戶(hù)受損。據(jù)悉，攻擊者是利用先前竊取的憑據(jù)對(duì)該機(jī)構(gòu)進(jìn)行了暴力破解。

2018年，電商平臺(tái)萬(wàn)磁王（Magneto）遭受了暴力破解攻擊，導(dǎo)致其管理面板遭到破壞。不少于1000個(gè)賬戶(hù)憑據(jù)在暗網(wǎng)上泄露。

2018年，北愛(ài)爾蘭議會(huì)遭遇暴力破解攻擊，暴露了一些議員的賬戶(hù)。據(jù)悉，黑客是利用了幾種組合來(lái)破解密碼并訪(fǎng)問(wèn)了這些成員的郵箱。

2016年，阿里巴巴旗下的電子商務(wù)網(wǎng)站淘寶遭到暴力破解攻擊，2100萬(wàn)個(gè)賬戶(hù)（占淘寶所有賬戶(hù)的五分之一）被盜用。攻擊者使用了一個(gè)包含9900萬(wàn)個(gè)用戶(hù)名和密碼的數(shù)據(jù)庫(kù)來(lái)策劃這次暴力攻擊。

誘發(fā)暴力破解攻擊的主要因素

暴力破解攻擊的主要原因之一是糟糕的密碼設(shè)置。

用戶(hù)（包括管理帳戶(hù)）習(xí)慣使用簡(jiǎn)單或通用的密碼，如123456、abdce、111111或admin。這些密碼很容易被猜測(cè)到或破解。

即使用戶(hù)使用了更強(qiáng)大的密碼，他們也會(huì)在不同的賬戶(hù)和平臺(tái)上重復(fù)使用。因此，如果他們的憑據(jù)從一個(gè)帳戶(hù)被盜，那么使用相同憑據(jù)的所有其他帳戶(hù)都有暴露的風(fēng)險(xiǎn)。

組織對(duì)登錄憑據(jù)使用可預(yù)測(cè)的分類(lèi)法，從而創(chuàng)建易于檢測(cè)的模式。例如，通常使用員工的首字母和姓氏加上公司名稱(chēng)作為登錄ID。

許多組織繼續(xù)將憑據(jù)、API密鑰、加密密鑰和密碼存儲(chǔ)在明文或加密較差的數(shù)據(jù)庫(kù)中。因此，攻擊者可以泄露這些數(shù)據(jù)庫(kù)，并使用它們來(lái)暴力破解API和應(yīng)用程序。

組織仍然依賴(lài)密碼或密鑰作為唯一的身份驗(yàn)證機(jī)制。即使組織使用MFA（多因素身份驗(yàn)證），如果缺乏適當(dāng)?shù)氖跈?quán)和基于角色的訪(fǎng)問(wèn)控制措施，它們?nèi)匀惶幱陲L(fēng)險(xiǎn)之中。

此外，組織經(jīng)常忽視實(shí)施多層安全措施（例如帳戶(hù)鎖定和速率限制）的重要性，以防止暴力破解攻擊。

暴力破解攻擊的常見(jiàn)目標(biāo)

如果您的網(wǎng)站/ API/應(yīng)用程序/系統(tǒng)需要用戶(hù)身份驗(yàn)證，它將成為威脅行為者的目標(biāo)。暴力破解攻擊比其他攻擊更容易編排，因?yàn)楣粽卟恍枰獟呙韬烷_(kāi)發(fā)利用漏洞的方法。

然而，電子商務(wù)API、應(yīng)用程序和站點(diǎn)是這些攻擊的最常見(jiàn)目標(biāo)。這是因?yàn)樗鼈兲幚碇Ц恫⒖梢栽L(fǎng)問(wèn)大量敏感的客戶(hù)數(shù)據(jù)，如PII、銀行信息、信用卡詳細(xì)信息等。假設(shè)攻擊者獲得了對(duì)電子商務(wù)API或站點(diǎn)的訪(fǎng)問(wèn)權(quán)。在這種情況下，他們可以很容易地進(jìn)行數(shù)據(jù)泄露、金融盜竊、身份盜竊、在暗網(wǎng)上出售用戶(hù)信息等操作。這會(huì)導(dǎo)致用戶(hù)之間的不信任，并影響組織的聲譽(yù)。

暴力破解API為何如此危險(xiǎn)？

影響

暴力破解對(duì)API的影響是嚴(yán)重和破壞性的。由于API本身就暴露了數(shù)據(jù)和功能，攻擊者會(huì)強(qiáng)制他們發(fā)現(xiàn)登錄憑據(jù)和API密鑰來(lái)訪(fǎng)問(wèn)用戶(hù)帳戶(hù)和應(yīng)用程序，以發(fā)現(xiàn)更多漏洞。

通過(guò)暴力破解API，攻擊者還可以導(dǎo)致其他用戶(hù)的停機(jī)和崩潰。他們可以通過(guò)暴力破解API來(lái)鎖定合法用戶(hù)，并為登錄失敗設(shè)置鎖定機(jī)制。

成功的登錄嘗試使攻擊者能夠泄露用戶(hù)信息、密鑰等，然后在暗網(wǎng)上出售。他們還可以傳播惡意軟件，參與帳戶(hù)接管，并執(zhí)行其他攻擊

其他原因

· 它們易于編排，尤其是在自動(dòng)化工具和機(jī)器人易于租用的情況下。

· 弱密碼問(wèn)題仍然存在。

· 即使攻擊者沒(méi)有發(fā)現(xiàn)或不能使用其他漏洞，暴力破解攻擊也能起作用。

防止暴力破解API攻擊

暴力破解攻擊檢測(cè)

在了解如何預(yù)防暴力破解攻擊之前，組織需要了解如何檢測(cè)它。首先，組織需要使用特定于API的、直觀(guān)的安全解決方案，來(lái)持續(xù)監(jiān)控傳入流量和用戶(hù)行為。

違規(guī)訪(fǎng)問(wèn)

安全解決方案必須在發(fā)生異常活動(dòng)時(shí)提供實(shí)時(shí)警報(bào)和觸發(fā)器。只有這樣，組織才能立即采取行動(dòng)阻止攻擊。特定于API的安全解決方案必須包括配備AI-ML和威脅情報(bào)的自動(dòng)掃描工具，以查找允許暴力破解攻擊的身份驗(yàn)證漏洞。此外，組織還必須使用手動(dòng)滲透測(cè)試來(lái)發(fā)現(xiàn)身份驗(yàn)證缺陷和其他允許暴力破解API的弱點(diǎn)。

強(qiáng)密碼策略和多因素身份驗(yàn)證

這是防止暴力破解API和其他攻擊的最重要方法： 

· 創(chuàng)建包含字母、數(shù)字和特殊字符的復(fù)雜密碼；

· 拒絕通用密碼和弱密碼以增強(qiáng)安全性；

· 在創(chuàng)建用戶(hù)名和密碼時(shí)避免常見(jiàn)模式；

· 確保密碼定期過(guò)期，不允許重復(fù)使用以前的密碼；

· 教育用戶(hù)為個(gè)人賬戶(hù)或平臺(tái)設(shè)置不同密碼的重要性；

· 探索采用密碼管理器或采用無(wú)密碼身份驗(yàn)證；

· 防止以明文形式存儲(chǔ)密碼、密鑰和憑據(jù)；

· 將2FA或MFA作為API和網(wǎng)站的強(qiáng)制性措施，特別是那些授予敏感數(shù)據(jù)和功能訪(fǎng)問(wèn)權(quán)的措施，以便為API和帳戶(hù)提供了額外的保護(hù)。

強(qiáng)大的訪(fǎng)問(wèn)控制和授權(quán)策略

即使成功登錄，攻擊者也不應(yīng)該能夠訪(fǎng)問(wèn)太多敏感信息。這就是為什么需要基于角色的訪(fǎng)問(wèn)控制和強(qiáng)授權(quán)策略。另外，請(qǐng)確保關(guān)閉未使用的帳戶(hù)，特別是高權(quán)限帳戶(hù)。

鎖定策略

如果失敗次數(shù)超過(guò)設(shè)置的限制，帳戶(hù)將被自動(dòng)鎖定。只有管理員才能在用戶(hù)驗(yàn)證后解鎖該帳戶(hù)。請(qǐng)記住，攻擊者可能會(huì)通過(guò)暴力破解來(lái)鎖定組織的合法用戶(hù)，以此對(duì)組織造成信任和聲譽(yù)損失。這就是為什么組織需要禁止從同一IP地址對(duì)不同的帳戶(hù)進(jìn)行多次登錄嘗試。

漸進(jìn)式延遲

組織還可以在登錄嘗試失敗后暫時(shí)鎖定帳戶(hù)，并在每次失敗的登錄之間實(shí)現(xiàn)漸進(jìn)式延遲，以減緩暴力破解攻擊。

智能實(shí)現(xiàn)驗(yàn)證碼質(zhì)詢(xún)

暴力破解工具和機(jī)器人無(wú)法執(zhí)行驗(yàn)證碼質(zhì)詢(xún)。因此，組織可以通過(guò)實(shí)現(xiàn)這些質(zhì)詢(xún)來(lái)為攻擊者制造障礙。組織所選的安全解決方案必須基于實(shí)時(shí)洞察智能地實(shí)現(xiàn)這些質(zhì)詢(xún)。

機(jī)器人緩解

由于現(xiàn)代暴力破解攻擊廣泛利用機(jī)器人和自動(dòng)化工具，組織必須使用提供智能、完全管理的機(jī)器人緩解功能的安全解決方案。

本文翻譯自：https://gbhackers.com/brute-force-attacks/如若轉(zhuǎn)載，請(qǐng)注明原文地址