近年来,随着数据重要性的逐步提高,以及各种工具技术的产品化,APT(Advanced Persistent Threat,定向威胁攻击)这种利用先进的攻击手段长期、有计划性和组织性地对特定目标进行窃取数据的行为正越来越泛滥。境外各类政府背景APT黑客组织不断加强对我国网络攻击,攻击来源众多、频次和烈度日益增强,窃取了大量重要敏感信息。APT入侵客户的途径多种多样,包括钓鱼软件、漏洞攻击等等。近期,一种称为“密码喷洒”的攻击手段正在被广泛使用。
“密码喷洒”(Password Spraying)是指利用单个常用或精心构造的密码对多个账户进行登录尝试,然后如此往复多次,直至成功获取账号密码。具体来说,攻击可以分为以下步骤。
第一步,黑客组织需要构建一个账号集。一般而言,可以在网络上收集特定组织的各种类型的公开信息,包括账号等等,在公开的招聘、公告信息等等寻找蛛丝马迹,获取这个组织的各类账号的信息。甚至有的时候无需获取实际的账号,可以通过获得的已知的账号中明确存在某种规律来生成账号。
接下来,黑客组织要构造一个密码集。密码集中包含的首先是弱密码,即容易破译的密码,多为简单的数字组合、账号相同的数字组合、键盘上的临近键或常见姓名,甚至于初始密码等等。此外,“机构名”+“电话号码”等密码看似复杂,但也很容易被列入黑客构造的密码集中。
这个时候,黑客组织已经集齐账号集和密码集,下一步就可以正式开展“密码喷洒”的攻击了。黑客组织使用专用的工具,先用第一个密码,逐一对所有的账号进行登录尝试,在失败之后,再换第二个密码,如此反复。实际上,在第一个尝试成功的账号起,“密码喷洒”攻击已经完成了,而黑客组织窃取信息的动作才刚刚开始。“密码喷洒”往往只是在攻击初期获取突破口的一种手段,通过这种方式寻找一个攻击的发起点。下一步,黑客会通过获取的账号密码潜伏下来,化身一个数据“间谍”,不断进行侦察、数据窃取和渗透,直至获取想要的信息。由于“密码喷洒”的攻击隐蔽性很强,很多被侵入的系统难以及时察觉,往往需要潜伏数月后才能发现,造成严重损失。
“密码喷洒”的原理十分简单,但是从目前公开的结果来看,“密码喷洒”的战果斐然,许多大型企业因此惨遭滑铁卢。2019年,美国软件及云端运算科技大厂 Citrix 遭黑客集团攻击,有超过6TB以上的资讯、信件及机密遭窃取,其中最大的受害者,包括发包给Citrix进行网络情资专案的白宫、FBI及其它美国军方单位。而从公开的信息来看,黑客组织用来突破Citrix 防线的,正是“密码喷洒”这一手段。
“密码喷洒”之所以屡屡奏效,从技术的角度而言,是由于目前的密码锁定策略,往往是对短期内多次尝试登录失败的账号进行锁定,而“密码喷洒”对单个账户而言,登录尝试间隔较长,因此能够有效规避一般的账户锁定策略。除了技术原因,以下三方面因素,也为“密码喷洒”的广泛使用提供了环境。
一是弱密码的广泛存在。弱密码在各行各业都广泛存在,根据国外机构分析表示,目前科技、金融、医疗、能源、电信、零售、工业、运输、航空和国防等各行业的弱密码均占30%以上,甚至不少相似的弱密码是因为未改变默认密码导致。
二是多因素身份验证机制的缺失。多因素身份验证是指在密码验证的基础之外,增加其他的验证因素,例如目前常用的手机短信验证码、面部识别等等。通过设置多因素身份验证,可有效防御大多数类似“密码喷洒”的自动化密码猜测攻击。据微软工程师统计,微软追踪到的99.9%受感染的账户都是因为没有启用多因素身份验证。目前,手机移动端广泛使用了多因素身份认证,但是在电脑端使用多因素身份认证的方式依然未能广泛推广。
三是网络安全中的“木桶原理”。一个系统的整体安全水平往往由安全级别最低的部分所决定,往往单一用户使用弱密码和不采取多因素身份验证的行为,就可以对整个系统的安全带来极大的挑战。黑客组织所寻求的,是在系统中存在的薄弱点。当一个系统越大,出现个别人员不按照密码规范进行设置的概率就越大,使用“密码喷洒”攻击的成功率也就越高。
从以上的分析可以看到,“密码喷洒”的防范可以从以下几个方面入手。
对于系统维护和安全部门而言,一是要进一步强化账号登录检测,加强对整体登录失败率明显上升、存在大量错误的用户名等现象的审查力度,对可能被攻击成功的账号进行密码重置;二是要进一步严格执行合理的密码安全策略,制定完善弱密码杜绝、密码定期更换、密码锁定以及多因素身份验证机制等安全策略;三是要加强全体用户的密码安全培训,全面杜绝使用弱密码等行为,全面提高用户的安全防范意识,确保堵塞漏洞。
对于用户个人而言,最简单的方法,无非就是修改自己目前还在使用的弱密码和“单位+电话”等看似复杂却容易被猜测出来的密码。此外,开启多因素身份验证机制等选项,也能够很好提高账号安全性。在明白使用弱密码的危害性后,相信有大部分的人能及时修改账号密码,但是依然会有个别人心存侥幸。而“密码喷洒”的攻击,恰恰就是针对这部分心怀侥幸的人。人性的弱点,才是任何安全系统真正的漏洞所在。
参考文献:
[1]时讯浏览(微软:99.9%被入侵账户未启用多因素身份验证);保密科学技术;2020年3月(总第114期);
[2] Michael Heller;Citrix数据泄露事故归咎于低强度密码;http://searchsecurity.techtarget.com.cn/11-26282/。
从化区委办 吴越滨