精选文章

随着黑客技术水平不断提高,凭证泄露事件数量翻倍

与 Dan Woods(F5 Shape 安全情报中心副总裁)和 Sander Vinberg(F5 实验室威胁宣传员)一起,与 DevCentral 的 John Wagnon 和 Jason Rahm 一起深入研究 F5 实验室的新撞库攻击报告。

要了解更多信息,请查看完整的 2021 年撞库攻击报告,并在此处观看 DevCentral Connects 讨论的扩展版本。 您还将在下面找到该报告主要发现的摘要。


根据 F5 实验室最新的撞库攻击报告,从 2016 年到 2020 年,每年的凭证泄露事件数量几乎翻了一番

同类中最全面的研究报告显示,同期凭证泄露量下降了 46%。 平均泄漏规模也有所下降,从 2016 年的 6300 万条下降到去年的 1700 万条。 与此同时,2020 年的溢油规模中值(200 万条记录)比 2019 年增长了 234%,是 2016 年(275 万条)以来的最高水平。

撞库攻击涉及利用大量受损的用户名和/或电子邮件和密码对,已成为一个日益严重的全球性问题。 作为一个定向案例,美国联邦调查局去年发布的一份私营行业通知警告称,该威胁在 2017 年至 2020 年期间针对美国金融部门的安全事件中占比最大(41%)。 

“攻击者多年来一直在收集数十亿份凭证,”F5 社区(F5 实验室和 DevCentral)高级总监 Sara Boddy 说。 “凭证泄露就像石油泄漏,一旦泄漏就很难清理,因为凭证不会被毫无戒心的消费者更改,而且撞库攻击解决方案尚未被企业广泛采用。 毫不奇怪,在这段研究期间,我们发现头号攻击类型从 HTTP 攻击转变为撞库攻击。 这种攻击类型对应用的安全性具有长期影响,并且不会很快改变。 如果您担心遭到黑客攻击,那么最有可能的是撞库攻击攻击。”

根据调查结果,F5 实验室威胁研究推广员、报告共同作者 Sander Vinberg 敦促各组织保持警惕。

他警告说:“虽然 2020 年证书泄露的总量和规模有所下降,但这并没有什么意义,但我们绝对不应该庆祝。” “访问攻击(包括撞库攻击和网络钓鱼)现在是违规行为的首要根源。 安全团队在打击数据泄露和欺诈的战争中获胜的可能性极小,因此看起来我们看到以前混乱的市场随着变得更加成熟而趋于稳定。” 

密码存储不当和攻击者日益熟练

尽管人们对行业最佳实践的共识日益增加,但该报告的主要发现之一是,密码存储不当仍然是一个长期存在的问题。

尽管大多数组织不会披露密码哈希算法,但 F5 能够研究 90 起特定事件,以了解最有可能的凭证泄露罪魁祸首。

在过去三年中,42.6% 的凭证泄露事件没有任何防护,密码以纯文本形式存储。 其次是 20% 与密码哈希算法 SHA-1 相关的凭证,这些凭证是“未加盐的”(即缺少可添加到密码末尾以创建不同哈希值的唯一值)。 “加盐” bcrypt 算法位居第三,占比 16.7%。 令人惊讶的是,即使哈希值经过加盐处理,广受质疑的哈希算法 MD5 也只占泄露凭证的一小部分(0.4%)。 几十年来,无论是否加盐,MD5 一直被认为是薄弱且糟糕的做法。

报告中另一个值得注意的观察是,攻击者越来越多地使用“模糊测试”技术来优化凭证利用的成功率。 模糊测试是通过使用修改后的输入反复测试解析器来查找输入解析代码中的安全漏洞的过程。 F5 发现大多数模糊测试攻击发生在被泄露的凭证公开发布之前,这表明这种做法在老练的攻击者中更为常见。

溢出检测

2018 年撞库攻击报告中,F5 指出凭证泄露事件平均需要 15 个月才能被公众知晓。 过去三年来,情况有所改善。 当知道事件日期和发现日期时,检测事件的平均时间现在约为 11 个月。 然而,由于少数事件的检测时间长达三年或更长时间,这一数字出现偏差。 检测事件的平均时间为 120 天。 值得注意的是,信息泄露通常在组织披露违规行为之前就在暗网上被发现。

聚焦暗网

泄露事件的公告通常与暗网论坛上出现的凭证同时发布。 对于 2020 年凭证填充报告,F5 特别分析了凭证被盗和在暗网上发布之间的关键时期。  

研究人员使用从数千起独立数据泄露事件中获取的近 90 亿条凭证样本(称为“Collection X”)进行了历史分析。 这些凭证于 2019 年 1 月初发布在暗网论坛上。

F5 将 Collection X 凭证与公告日期前后六个月(凭证泄露首次被公众知晓)针对一组客户进行的撞库攻击攻击中使用的用户名进行了比较。 研究人员对四家财富 500 强客户进行了研究,包括两家银行、一家零售商和一家食品饮料公司,代表了 21 个月内 720 亿次登录交易。 利用 Shape Security 技术,研究人员能够通过盗窃、销售和使用来“追踪”被盗凭证。

在过去的 12 个月中,这四个网站的合法交易和攻击中使用了 29 亿个不同的凭证。 近三分之一(9 亿)的凭证遭到泄露。 被盗凭证最常出现在银行合法的人工交易中(分别占 35% 和 25%)。 10% 的攻击针对的是零售业,约 5% 的攻击集中在食品和饮料业务。

凭证滥用的五个阶段

根据研究, 《撞库攻击》报告确定了凭证滥用的五个不同阶段:

  • 缓慢而安静: 在公开宣布之前的一个月,受损的凭证还在被秘密使用。 平均而言,每个凭证每天在四个网站的攻击中使用 15-20 次。 
  • 上升阶段: 在公开宣布之前的 30 天里,F5 看到这些凭证在暗网上流传。 越来越多的攻击者获得了凭证,这就是每天攻击次数稳步增加的原因。
  • 闪电战: 随着这些凭证逐渐为公众所知,“脚本小子”和其他业余爱好者开始在各大网站上使用它们。 第一周尤为活跃,每个账户平均每天被攻击超过 130 次。
  • 下降/新平衡: 第一个月后,F5 确定了新的平衡点,即每个用户名每天约发生 28 次攻击。 有趣的是,新的平衡点高于“缓慢而安静”阶段原来的 15 次袭击的现状。 这是因为一部分新手攻击者仍然使用“陈旧”凭证瞄准高价值公司。
  • 轮回: 在对各种网络资产进行撞库攻击攻击后,一部分犯罪分子开始重新包装有效凭证,以延长其可利用的使用寿命。

尽量减少威胁 

“只要我们要求用户在线登录账户,撞库攻击就会成为一种威胁,”Boddy 补充道。 “攻击者将继续修改他们的攻击以适应欺诈防护技术,这对与撞库攻击和欺诈相关的自适应、人工智能控制产生了强烈的需求和机会。 立即检测到 100% 的攻击是不可能的。 可能的是,攻击的成本太高,以至于欺诈者放弃。 如果说对于网络犯罪分子和商人来说有一件事是真理,那就是时间就是金钱。”


有关威胁情报和网络安全的更多观点,请访问https://www.f5.com/labs