Brute Force

  • Иван Гайдаров08/02/2025, 21:40
    107

    Мощна глобална Brute-force кампания таргетира мрежовите устройства на водещи производители

    Активна широкомащабна Brute-force атака от почти 2,8 милиона IP адреса се опитва да отгатне идентификационните данни за широк набор от мрежови устройства. Сред целите ѝ са такива на Palo Alto Networks, Ivanti и SonicWall.

    Според платформата за наблюдение на заплахите The Shadowserver Foundation тя е активна от миналия месец. Най-много IP адреси, впрегнати в кампанията, има в Бразилия (1,1 млн.), следвана от Турция, Русия, Аржентина, Мароко и Мексико. Като цяло в нея участват такива от много голям брой държави.

    Устройствата, които извършват тези атаки, са предимно рутери и IoT на MikroTik, Huawei, Cisco, Boa и ZTE. Продуктите на тези компании често биват компрометирани от големи ботнет мрежи със злонамерен софтуер.

    За да ограничите уязвимостта на вашите системи към Brute-force атаки:

    • задължително сменете администраторската парола по подразбиране със силна и уникална комбинация;
    • активирайте MFA;
    • създайте списък на позволени доверени IP адреси;
    • деактивирайте уеб администраторските интерфейси, ако не са необходими.

    Прилагането на най-новите актуализации на фърмуера и сигурността на тези устройства е от решаващо значение за премахване на уязвимостите.

  • Иван Гайдаров12/12/2024, 7:17
    217

    Критична уязвимост в MFA на Azure излага на риск над 400 милиона акаунта в Microsoft 365

    Критична уязвимост позовлява заобикаляне на многофакторното удостоверяване (MFA) на Microsoft Azure. По този начин нападателят получава неоторизиран достъп до акаунта на жертвата, включително до имейлите в Outlook, файловете в OneDrive, чатовете в Teams и др. Тя излага на риск от превземане над 400 милиона акаунта в Microsoft 365.

    Уязвимостта идва от липсата на ограничение за броя и скоростта на опитите за влизане с MFA. Друг проблем е, че времето, с което разполага нападателят, за да отгатне паролата, е с 2,5 минути по-дълго от препоръчителното.

    Всичко това позволява бързото изчерпване на общия брой опции за 6-цифрен код, който е 1 милион, предупреждават от Oasis Security. Още повече, че собствениците на акаунти не получават никакво предупреждение за тези опити за влизане в профила им.

    Въпреки че MFA все още се счита за един от най-сигурните начини за защита на онлайн акаунти, никоя система не е 100% защитена.

    За да повишите нивата на киберсигурност, ви съветваме да:

    • използвате допълнителни приложения за автентикация;
    • интегрирате методи, които не са базирани на парола, като Passkey;
    • добавите възможност за уведомява потребителите за неуспешни опити за влизане чрез MFA;

    Дизайнерите на MFA приложения трябва да:

    • залагат ограничения на скоростта, които не позволяват безкрайни опити за влизане;
    • въведат функционалност за заключване на акаунта след определен брой неуспешни комбинации.
  • Иван Гайдаров06/10/2024, 8:46
    789

    Застраховка срещу взлом: 8 вида brute force атаки и как да се защитите от тях

    Използвате пароли от осем символа и си мислите, че акаунтите ви са защитени? Време е да ви разочаровам. Според доклада 2024 Password Table на IT компанията Hive Systems средното време, нужно на хакерите да разбият една подобна парола чрез brute force атака, е 37 секунди! 

    В същото време в блога си лабораторията за киберсигурност Cisco Talos предупреждава, че броят на този тип атаки нараства значително през 2024тенденция, валидна за всяка една от последните години. 

    Какво представляват brute force атаките? 

    Brute force атаките са насочени срещу защитени с парола акаунти. При тях нападателят използва софтуер, който генерира множество последователни предположения за изключително кратко време, за да получи неоторизиран достъп до даден профил.  

    Brute force атаките могат да бъдат изключително успешен инструмент в ръцете на хакерите. Особено ако не сте защитени от допълнителни мерки за сигурност. С увеличаването на сложността на паролата те стават по-малко практични заради експоненциалното нарастване на броя на възможните комбинации, но това единствено отнема повече време на нападателя. 

    Видове brute force атаки 

    За да стане ситуацията още по критична, brute force атаките са изключително разнообразни: 

    • Обикновени brutе force атаки: Основната форма, при която нападателят ръчно опитва различни комбинации от знаци, цифри и символи, за да отгатне паролата. Този подход отнема много време и е неефективен, но работи изненадващо добре срещу слаби, предсказуеми пароли като „123456“ или „password123“. 
    • Речникови атаки (Dictionary Attacks): Вместо случайни предположения, речниковите атаки използват предварително изготвени списъци с често срещани думи, фрази, вариации и изтекли пароли. Те могат да бъдат съобразени с миналото или интересите на целта и са значително по-бързи и по-ефективни от обикновените. Особено срещу потребители, които използват едни и същи пароли в различни акаунти. 
    • Хибридни brute force атаки: Те съчетават двата гореописани подхода. Започват с по-малък списък от често срещани пароли, който след това се разширява със замяна на символи, вариации и др. 
    • Reverse Brute Force: Тук нападателят вече има някаква информация за паролата, като например нейната дължина или специфични символи. Въз основа на тази информация той изгражда списъци с възможности, които увеличават скоростта и успеваемостта на атаката. 
    • Подправяне на идентификационни данни (Credential Stuffing): Тази вариация включва използване на изтекли или откраднати двойки потребителски имена и пароли при пробиви в дадени платформи, които се изпробват в други такива. Тя разчита на факта, че много потребители използват едни и същи идентификационните данни в различни акаунти.  
    • Rainbow Table Attacks (дъгови таблици): При тези атаки се използват предварително изчислени хешове на често срещани пароли и след това се сравняват с хешовата парола на целевата система. Въпреки че не разкрива директно паролата, успешното съвпадение я идентифицира в дъгова таблица. 
    • Password Spraying: Вместо да се насочва към конкретни акаунти, при атака от този вид нападателят използва една парола срещу голям брой профили. Целта е да се използват слаби политики за защита или повторна употреба на пароли в различни платформи. Макар и не толкова целенасочена, тя може ефективно да идентифицира уязвими акаунти и да получи достъп до множество системи наведнъж. 
    • Brute force атаки срещу RDP връзки: Протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е популярен инструмент за отдалечен достъп до компютри. Нападателите могат да използват brute force техники, за да отгатнат идентификационните данни за вход в RDP и да получат неоторизиран достъп до отдалечената система. Това може да бъде врата за по-нататъшни атаки към мрежата или данните, съхранявани в нея. 

    Как да се защитите? 

    Същестуват различни начини да се защитите от brute force атаките. Част от тях включват политики за блокиране след определен брой неуспешни опити за вход, CAPTCHA, предназначени да предотвратят автоматичното подаване на заявки, както и многофакторна автентикация. 

    Мениджърите на пароли са друг инструмент, който ограничава риска, тъй като ви помага да поддържате уникални, сложни пароли за различните платформи и услуги, които използвате. 

    Също така, когато обмисляте с каква парола да защитите даден акаунт, заложете на дължината и използвайте различни символи. 

    Не на последно място, не препоръчваме честа смяна на пароли, но когато имате и най-малкото съмнение, че някоя от тях е компрометирана, това е задължителна предохранителна мярка. 

  • Христо Ласков22/08/2017, 15:18
    490

    Brute-force атака удари потребители на Office 365

    Последен ъпдейт на 28 юни 2018 в 13:50 ч.

    Киберпрестъпниците стават все по-изобретателни в стремежа си да се доберат до чувствителна информация. Наскоро разбрахме, че 48 компании, ползващи облачната услуга на Microsoft Office 365 са станали жертва на нова стратегия за получаване на нерегламентиран достъп до бизнес данни.

    Тази атака с „груба сила“ (brute force attack) е различна от останалите с това, че жертвите са малко на брой в сравнение със засегнатите компании. Засечени са 100 хил. провалени опита за логване от 67 различни IP адреса в 12 отделни мрежи за период от 7 месеца.

    Именно дългият период време и ограниченият брой потърпевши позволяват на хакерите да останат „под радара“ на Microsoft. Друг интересен факт е, че пробивът е бил облак-към-облак. Хакерите са използвали инфраструктурата на публична хостинг компания, за да атакуват облачна SaaS услуга.

    Нова стратегия

    Първата стъпка на хакерите била да си набавят бизнес логини и пароли от различни компани, които ползват различни облачни услуги (не само Office 365). Престъпниците пробвали всевъзможни варианти на имейл адреси. Например човек на име Тодор Петров в компанията „X“ е бил подложен на стотици опити за логин в имейл адреси с всякакви разновидности на изписване, като [email protected], [email protected] и т.н. Един от акаунтите бил подложен на атака от 14 различни IP-та със 17 различни вариации на имейл адрес в рамките на само 4 секунди. Изглежда, че престъпниците са използвали една и съща парола за различните начини на изписване, което им позволило да сменят името, но не и паролата. Друго предположение е, че акаунтите на са имали двуфакторна верификация.

    Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

    Игла в купа сено

    Хакерите разтягат умишлено продължителността на операцията. Те се фокусират върху един човек, и дори тогава, атаката трае броени секунди. Целят се във високопоставени служители на различни компании, за да не изглежда така че атаката е само срещу една. Това, в комбинация с различните IP адреси, от които произлизат опитите за пробив, прави атаката практически незабележима.

    Планирането и изпълнението изглеждат изключително сложни. Как тогава е открит пробивът?

    Първите съмнения се появяват когато Cloud Access Security Broker засича редица неуспешни опити за влизане – аномалия, която може да се дължи на опит за получаване на нерегламентиран достъп. Само по себе си това не води до нищо, но с времето се проявява повтарящ се модел. Атаката произтича от едни и същи IP адреси и всички те опитват да получат достъп до една шепа бизнес акаунти в няколко компании, работещи с Office 365.

    Това променя статута на аномалиите и те се превръщат в заплаха.

    Последвалото разследване и съпътстващият го анализ откриват хилядите неуспешни опити за влизане и окачествяват заплахата като атака с груба сила.

    Как се предотвратява такава атака?

    Подобна атака е почти невъзможна при двуфакторната верификация. В случая ощетените компании са имали само еднофакторна защита. В стратегически план всеки бизнес, който разчита на облачни услуги, трябва да помисли и за облачна защита.

    Прочетете повече: Шестте най-известни киберпробива в облака

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button