微软侦测与回应小组(Detection and Response Team,DART)称,今年黑客开始利用密码喷洒(password spray)手法来攻击企业,并对企业提出防御建议。
微软DART本周公布密码喷洒的研究报告,说明此类攻击的特征及攻击者偏好。密码喷洒是一种利用大量使用者帐号名单,和常见密码配对尽可能猜出大量使用者帐号及密码组合。它和暴力破解不太一样,后者是以字典攻击或文字列表破解少量的用户帐号。
高明的密码喷洒有2种特质,一是低调、缓慢的攻击者会使用不同IP地址同时间,以很少次猜测来攻击多个帐号。二是利用重复使用的密码,攻击者从暗网上收集外泄的用户登录凭证,利用“凭证填充(credential stuffing)”手法来访问受害者重复使用同一组帐号密码的不同网站。
微软说明,密码喷洒攻击常使用的user agent string包括BAV2ROPC、 CBAinPROD、CBAinTAR,使用REST API的密码喷洒攻击则以无GUI界面的(headless)浏览器,像Firefox、Chrome来攻击API端点。此外攻击者常使用Python呼叫模组产生网站呼叫,无需使用者动作。
使用不安全或老旧验证协议的App也是此类攻击目标,例如Exchange ActiveSync、IMAP/POP3/SMTP Auth及Exchange Autodiscover,因为它们不强制使用多因素验证(MfA),但最近也有些攻击者锁定使用REST API的应用。
微软也说明特别容易遭密码喷洒攻击的用户类型,供企业在检查时特别注意。其中一类是管理员权限的帐号,包括安全管理员、Exchange服务、SharePoint、支付系统及Helpdesk、使用者管理员、验证管理员、公司管理员、全域管理员及条件式存取(conditional access)管理员。其次则是CXO等公司高层帐号。
微软建议,若管理员发现网路log中有匿名或可疑IP、陌生国家的连线等现象时,就要留心是否已遭到密码喷洒。