暴力破解攻擊是最常見的攻擊類型之一。在2022年第一季度，暴力破解攻擊占所有攻擊的51%！這些攻擊通常為其他類型的威脅鋪平道路，并對組織造成毀滅性的后果。

API上的暴力破解攻擊問題更為嚴重，因為API以編程方式公開數據、功能和業務邏輯。組織需要立即采取行動阻止這些攻擊，以保護數字資產免受攻擊者的侵害。

什么是暴力破解攻擊？

暴力破解攻擊（Brute force attack）是常見、簡單且易于編排的憑據破解/密碼猜測攻擊類型。在這些攻擊中，威脅參與者使用試錯法來解碼密碼、登錄憑據、API密鑰、SSH登錄、加密密鑰、隱藏的網頁和內容。在此基礎上，他們會獲得對應用程序、API、帳戶、系統和網絡的未經授權訪問。

攻擊者會不斷猜測用戶名和密碼，直到找到有效的組合。他們會系統地嘗試所有可能的字母、數字和符號組合，直到破解密碼。在此過程中，攻擊者可能會使用手動或自動方法注入用戶名密碼并找到正確的憑據。

暴力破解 vs. 其他破解技術

暴力破解攻擊不使用智能策略來破解憑據；他們使用一種簡單的試錯法，通過竭盡全力地嘗試各種字符組合來破解憑據，直到找到一個允許他們進入的憑據組合。這是暴力破解與其他填充和破解方法的主要區別。

在憑據填充（credential stuffing）攻擊中，攻擊者會拋出真實的登錄憑據來欺騙API/應用程序，使其相信他們是合法用戶。為此，他們會使用竊取的憑據和密鑰。

而在暴力破解攻擊中，攻擊者反復嘗試不同的字符組合，直到他們獲得對API或應用程序的訪問權。

暴力破解攻擊的類型

· 簡單的暴力破解攻擊，攻擊者會使用簡單、系統的方法來猜測和破解憑據，而不依賴于智能策略或邏輯。自動化工具和腳本通常用于自動猜測憑據。

· 字典攻擊（Dictionary attack），攻擊者使用包含單詞、字符串和短語的公共數據庫——字典。它們從字典中的單詞/短語開始，并嘗試字母和字符的組合來確定登錄憑據。

· 混合暴力破解（Hybrid brute force）攻擊，攻擊者將簡單的暴力破解攻擊和字典攻擊結合在一起的攻擊形式。他們使用外部邏輯來確定可能有更高成功概率的密碼變體，然后修改這些變體以嘗試各種組合。

· 彩虹表攻擊（Rainbow table attack），攻擊者會使用彩虹表——一個預先計算的明文密碼表/字典和與之對應的哈希函數，并嘗試逆向加密哈希函數。

· 逆向暴力破解（Reverse brute force）攻擊，攻擊者使用常見/已知密碼或密碼集合，通過嘗試不同的組合來找出可能的用戶名/帳號。

· 密碼噴灑（Password spraying）攻擊，攻擊者使用常用的密碼（如admin或123456），并在不同的帳戶上使用它們，而不是嘗試不同的密碼組合。這通常在有帳戶鎖定策略的情況下使用，攻擊者只能有限地嘗試破解憑據。

· 僵尸網絡暴力破解（Botnet brute force）攻擊，攻擊者利用強大的機器人來暴力破解API，應用程序和網絡。對于攻擊者來說，暴力破解的最大缺點之一是需要幾天甚至幾個月的時間來破解憑據，尤其是更復雜的憑據。加上速率限制和賬戶鎖定政策等額外的安全措施，挑戰就更大了。但僵尸網絡有助于克服這些挑戰。它們為攻擊者提供了高計算能力，幫助他們避開傳統的防御機制，同時為攻擊過程注入了速度和效率。

API中的暴力破解

API中的暴力破解是指威脅參與者利用工具不斷向API發送請求，以猜測正確的憑據組合。其最終目標可能是任何東西，從通過暴力破解API身份驗證表單竊取帳戶到通過暴力破解登錄泄露敏感數據。

運行原理

傳統的暴力破解攻擊通常使用巨大的人力來破解憑據。但是，考慮到安全措施和破解單個復雜密碼所需的時間，攻擊者如今更傾向于利用自動化工具、腳本和強大的僵尸網絡來暴力破解API、應用程序和網絡。

這些工具和機器人可以發送大量的服務器請求，每小時進行數十萬次登錄嘗試。它們可以在幾分鐘內猜測并找到有效的組合，而無需耗費數周或數個月時間。

使用自動化工具和機器人進行API暴力破解攻擊的三個主要步驟：

1. 攻擊者識別他們想要攻擊的API、應用程序或站點的目標URL，并在暴力破解工具中預先配置參數值；

2. 他們使用工具/機器人運行暴力破解過程，以試圖識別所有有效的憑據；

3. 在識別成功的登錄憑據后，攻擊者登錄并執行他們的命令。

以下是攻擊者用于暴力破解的一些常用工具： 

· THC-Hydra使用簡單或基于字典的方法運行大量密碼組合來破解網絡密碼協議。

· Aircrack-ng使用一個廣泛使用的密碼字典來入侵無線網絡。

· John the Ripper是一個使用字典詳盡地運行可能組合的工具。

· Hashcat是最快的基于CPU的破解工具，可以運行簡單的暴力破解、基于規則的攻擊和混合攻擊。

· Ncrack幫助破解網絡認證，支持多種攻擊類型。

· RainbowCrack是利用彩虹表的最快破解工具之一。

現實案例

加拿大稅務局在2020年遭遇過一次暴力破解攻擊，導致1.1萬個CRA賬戶和其他政府相關服務賬戶受損。據悉，攻擊者是利用先前竊取的憑據對該機構進行了暴力破解。

2018年，電商平臺萬磁王（Magneto）遭受了暴力破解攻擊，導致其管理面板遭到破壞。不少于1000個賬戶憑據在暗網上泄露。

2018年，北愛爾蘭議會遭遇暴力破解攻擊，暴露了一些議員的賬戶。據悉，黑客是利用了幾種組合來破解密碼并訪問了這些成員的郵箱。

2016年，阿里巴巴旗下的電子商務網站淘寶遭到暴力破解攻擊，2100萬個賬戶（占淘寶所有賬戶的五分之一）被盜用。攻擊者使用了一個包含9900萬個用戶名和密碼的數據庫來策劃這次暴力攻擊。

誘發暴力破解攻擊的主要因素

暴力破解攻擊的主要原因之一是糟糕的密碼設置。

用戶（包括管理帳戶）習慣使用簡單或通用的密碼，如123456、abdce、111111或admin。這些密碼很容易被猜測到或破解。

即使用戶使用了更強大的密碼，他們也會在不同的賬戶和平臺上重復使用。因此，如果他們的憑據從一個帳戶被盜，那么使用相同憑據的所有其他帳戶都有暴露的風險。

組織對登錄憑據使用可預測的分類法，從而創建易于檢測的模式。例如，通常使用員工的首字母和姓氏加上公司名稱作為登錄ID。

許多組織繼續將憑據、API密鑰、加密密鑰和密碼存儲在明文或加密較差的數據庫中。因此，攻擊者可以泄露這些數據庫，并使用它們來暴力破解API和應用程序。

組織仍然依賴密碼或密鑰作為唯一的身份驗證機制。即使組織使用MFA（多因素身份驗證），如果缺乏適當的授權和基于角色的訪問控制措施，它們仍然處于風險之中。

此外，組織經常忽視實施多層安全措施（例如帳戶鎖定和速率限制）的重要性，以防止暴力破解攻擊。

暴力破解攻擊的常見目標

如果您的網站/ API/應用程序/系統需要用戶身份驗證，它將成為威脅行為者的目標。暴力破解攻擊比其他攻擊更容易編排，因為攻擊者不需要掃描和開發利用漏洞的方法。

然而，電子商務API、應用程序和站點是這些攻擊的最常見目標。這是因為它們處理支付并可以訪問大量敏感的客戶數據，如PII、銀行信息、信用卡詳細信息等。假設攻擊者獲得了對電子商務API或站點的訪問權。在這種情況下，他們可以很容易地進行數據泄露、金融盜竊、身份盜竊、在暗網上出售用戶信息等操作。這會導致用戶之間的不信任，并影響組織的聲譽。

暴力破解API為何如此危險？

影響

暴力破解對API的影響是嚴重和破壞性的。由于API本身就暴露了數據和功能，攻擊者會強制他們發現登錄憑據和API密鑰來訪問用戶帳戶和應用程序，以發現更多漏洞。

通過暴力破解API，攻擊者還可以導致其他用戶的停機和崩潰。他們可以通過暴力破解API來鎖定合法用戶，并為登錄失敗設置鎖定機制。

成功的登錄嘗試使攻擊者能夠泄露用戶信息、密鑰等，然后在暗網上出售。他們還可以傳播惡意軟件，參與帳戶接管，并執行其他攻擊

其他原因

· 它們易于編排，尤其是在自動化工具和機器人易于租用的情況下。

· 弱密碼問題仍然存在。

· 即使攻擊者沒有發現或不能使用其他漏洞，暴力破解攻擊也能起作用。

防止暴力破解API攻擊

暴力破解攻擊檢測

在了解如何預防暴力破解攻擊之前，組織需要了解如何檢測它。首先，組織需要使用特定于API的、直觀的安全解決方案，來持續監控傳入流量和用戶行為。

違規訪問

安全解決方案必須在發生異常活動時提供實時警報和觸發器。只有這樣，組織才能立即采取行動阻止攻擊。特定于API的安全解決方案必須包括配備AI-ML和威脅情報的自動掃描工具，以查找允許暴力破解攻擊的身份驗證漏洞。此外，組織還必須使用手動滲透測試來發現身份驗證缺陷和其他允許暴力破解API的弱點。

強密碼策略和多因素身份驗證

這是防止暴力破解API和其他攻擊的最重要方法： 

· 創建包含字母、數字和特殊字符的復雜密碼；

· 拒絕通用密碼和弱密碼以增強安全性；

· 在創建用戶名和密碼時避免常見模式；

· 確保密碼定期過期，不允許重復使用以前的密碼；

· 教育用戶為個人賬戶或平臺設置不同密碼的重要性；

· 探索采用密碼管理器或采用無密碼身份驗證；

· 防止以明文形式存儲密碼、密鑰和憑據；

· 將2FA或MFA作為API和網站的強制性措施，特別是那些授予敏感數據和功能訪問權的措施，以便為API和帳戶提供了額外的保護。

強大的訪問控制和授權策略

即使成功登錄，攻擊者也不應該能夠訪問太多敏感信息。這就是為什么需要基于角色的訪問控制和強授權策略。另外，請確保關閉未使用的帳戶，特別是高權限帳戶。

鎖定策略

如果失敗次數超過設置的限制，帳戶將被自動鎖定。只有管理員才能在用戶驗證后解鎖該帳戶。請記住，攻擊者可能會通過暴力破解來鎖定組織的合法用戶，以此對組織造成信任和聲譽損失。這就是為什么組織需要禁止從同一IP地址對不同的帳戶進行多次登錄嘗試。

漸進式延遲

組織還可以在登錄嘗試失敗后暫時鎖定帳戶，并在每次失敗的登錄之間實現漸進式延遲，以減緩暴力破解攻擊。

智能實現驗證碼質詢

暴力破解工具和機器人無法執行驗證碼質詢。因此，組織可以通過實現這些質詢來為攻擊者制造障礙。組織所選的安全解決方案必須基于實時洞察智能地實現這些質詢。

機器人緩解

由于現代暴力破解攻擊廣泛利用機器人和自動化工具，組織必須使用提供智能、完全管理的機器人緩解功能的安全解決方案。

本文翻譯自：https://gbhackers.com/brute-force-attacks/如若轉載，請注明原文地址