暴力破解攻擊是最常見的攻擊類型之一。在2022年第一季度，暴力破解攻擊占所有攻擊的51%！這些攻擊通常為其他類型的威脅鋪平道路，并對組織造成毀滅性的后果。

API上的暴力破解攻擊問題更為嚴(yán)重，因?yàn)锳PI以編程方式公開數(shù)據(jù)、功能和業(yè)務(wù)邏輯。組織需要立即采取行動(dòng)阻止這些攻擊，以保護(hù)數(shù)字資產(chǎn)免受攻擊者的侵害。

什么是暴力破解攻擊？

暴力破解攻擊（Brute force attack）是常見、簡單且易于編排的憑據(jù)破解/密碼猜測攻擊類型。在這些攻擊中，威脅參與者使用試錯(cuò)法來解碼密碼、登錄憑據(jù)、API密鑰、SSH登錄、加密密鑰、隱藏的網(wǎng)頁和內(nèi)容。在此基礎(chǔ)上，他們會(huì)獲得對應(yīng)用程序、API、帳戶、系統(tǒng)和網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問。

攻擊者會(huì)不斷猜測用戶名和密碼，直到找到有效的組合。他們會(huì)系統(tǒng)地嘗試所有可能的字母、數(shù)字和符號組合，直到破解密碼。在此過程中，攻擊者可能會(huì)使用手動(dòng)或自動(dòng)方法注入用戶名密碼并找到正確的憑據(jù)。

暴力破解 vs. 其他破解技術(shù)

暴力破解攻擊不使用智能策略來破解憑據(jù)；他們使用一種簡單的試錯(cuò)法，通過竭盡全力地嘗試各種字符組合來破解憑據(jù)，直到找到一個(gè)允許他們進(jìn)入的憑據(jù)組合。這是暴力破解與其他填充和破解方法的主要區(qū)別。

在憑據(jù)填充（credential stuffing）攻擊中，攻擊者會(huì)拋出真實(shí)的登錄憑據(jù)來欺騙API/應(yīng)用程序，使其相信他們是合法用戶。為此，他們會(huì)使用竊取的憑據(jù)和密鑰。

而在暴力破解攻擊中，攻擊者反復(fù)嘗試不同的字符組合，直到他們獲得對API或應(yīng)用程序的訪問權(quán)。

暴力破解攻擊的類型

· 簡單的暴力破解攻擊，攻擊者會(huì)使用簡單、系統(tǒng)的方法來猜測和破解憑據(jù)，而不依賴于智能策略或邏輯。自動(dòng)化工具和腳本通常用于自動(dòng)猜測憑據(jù)。

· 字典攻擊（Dictionary attack），攻擊者使用包含單詞、字符串和短語的公共數(shù)據(jù)庫——字典。它們從字典中的單詞/短語開始，并嘗試字母和字符的組合來確定登錄憑據(jù)。

· 混合暴力破解（Hybrid brute force）攻擊，攻擊者將簡單的暴力破解攻擊和字典攻擊結(jié)合在一起的攻擊形式。他們使用外部邏輯來確定可能有更高成功概率的密碼變體，然后修改這些變體以嘗試各種組合。

· 彩虹表攻擊（Rainbow table attack），攻擊者會(huì)使用彩虹表——一個(gè)預(yù)先計(jì)算的明文密碼表/字典和與之對應(yīng)的哈希函數(shù)，并嘗試逆向加密哈希函數(shù)。

· 逆向暴力破解（Reverse brute force）攻擊，攻擊者使用常見/已知密碼或密碼集合，通過嘗試不同的組合來找出可能的用戶名/帳號。

· 密碼噴灑（Password spraying）攻擊，攻擊者使用常用的密碼（如admin或123456），并在不同的帳戶上使用它們，而不是嘗試不同的密碼組合。這通常在有帳戶鎖定策略的情況下使用，攻擊者只能有限地嘗試破解憑據(jù)。

· 僵尸網(wǎng)絡(luò)暴力破解（Botnet brute force）攻擊，攻擊者利用強(qiáng)大的機(jī)器人來暴力破解API，應(yīng)用程序和網(wǎng)絡(luò)。對于攻擊者來說，暴力破解的最大缺點(diǎn)之一是需要幾天甚至幾個(gè)月的時(shí)間來破解憑據(jù)，尤其是更復(fù)雜的憑據(jù)。加上速率限制和賬戶鎖定政策等額外的安全措施，挑戰(zhàn)就更大了。但僵尸網(wǎng)絡(luò)有助于克服這些挑戰(zhàn)。它們?yōu)楣粽咛峁┝烁哂?jì)算能力，幫助他們避開傳統(tǒng)的防御機(jī)制，同時(shí)為攻擊過程注入了速度和效率。

API中的暴力破解

API中的暴力破解是指威脅參與者利用工具不斷向API發(fā)送請求，以猜測正確的憑據(jù)組合。其最終目標(biāo)可能是任何東西，從通過暴力破解API身份驗(yàn)證表單竊取帳戶到通過暴力破解登錄泄露敏感數(shù)據(jù)。

運(yùn)行原理

傳統(tǒng)的暴力破解攻擊通常使用巨大的人力來破解憑據(jù)。但是，考慮到安全措施和破解單個(gè)復(fù)雜密碼所需的時(shí)間，攻擊者如今更傾向于利用自動(dòng)化工具、腳本和強(qiáng)大的僵尸網(wǎng)絡(luò)來暴力破解API、應(yīng)用程序和網(wǎng)絡(luò)。

這些工具和機(jī)器人可以發(fā)送大量的服務(wù)器請求，每小時(shí)進(jìn)行數(shù)十萬次登錄嘗試。它們可以在幾分鐘內(nèi)猜測并找到有效的組合，而無需耗費(fèi)數(shù)周或數(shù)個(gè)月時(shí)間。

使用自動(dòng)化工具和機(jī)器人進(jìn)行API暴力破解攻擊的三個(gè)主要步驟：

1. 攻擊者識別他們想要攻擊的API、應(yīng)用程序或站點(diǎn)的目標(biāo)URL，并在暴力破解工具中預(yù)先配置參數(shù)值；

2. 他們使用工具/機(jī)器人運(yùn)行暴力破解過程，以試圖識別所有有效的憑據(jù)；

3. 在識別成功的登錄憑據(jù)后，攻擊者登錄并執(zhí)行他們的命令。

以下是攻擊者用于暴力破解的一些常用工具： 

· THC-Hydra使用簡單或基于字典的方法運(yùn)行大量密碼組合來破解網(wǎng)絡(luò)密碼協(xié)議。

· Aircrack-ng使用一個(gè)廣泛使用的密碼字典來入侵無線網(wǎng)絡(luò)。

· John the Ripper是一個(gè)使用字典詳盡地運(yùn)行可能組合的工具。

· Hashcat是最快的基于CPU的破解工具，可以運(yùn)行簡單的暴力破解、基于規(guī)則的攻擊和混合攻擊。

· Ncrack幫助破解網(wǎng)絡(luò)認(rèn)證，支持多種攻擊類型。

· RainbowCrack是利用彩虹表的最快破解工具之一。

現(xiàn)實(shí)案例

加拿大稅務(wù)局在2020年遭遇過一次暴力破解攻擊，導(dǎo)致1.1萬個(gè)CRA賬戶和其他政府相關(guān)服務(wù)賬戶受損。據(jù)悉，攻擊者是利用先前竊取的憑據(jù)對該機(jī)構(gòu)進(jìn)行了暴力破解。

2018年，電商平臺(tái)萬磁王（Magneto）遭受了暴力破解攻擊，導(dǎo)致其管理面板遭到破壞。不少于1000個(gè)賬戶憑據(jù)在暗網(wǎng)上泄露。

2018年，北愛爾蘭議會(huì)遭遇暴力破解攻擊，暴露了一些議員的賬戶。據(jù)悉，黑客是利用了幾種組合來破解密碼并訪問了這些成員的郵箱。

2016年，阿里巴巴旗下的電子商務(wù)網(wǎng)站淘寶遭到暴力破解攻擊，2100萬個(gè)賬戶（占淘寶所有賬戶的五分之一）被盜用。攻擊者使用了一個(gè)包含9900萬個(gè)用戶名和密碼的數(shù)據(jù)庫來策劃這次暴力攻擊。

誘發(fā)暴力破解攻擊的主要因素

暴力破解攻擊的主要原因之一是糟糕的密碼設(shè)置。

用戶（包括管理帳戶）習(xí)慣使用簡單或通用的密碼，如123456、abdce、111111或admin。這些密碼很容易被猜測到或破解。

即使用戶使用了更強(qiáng)大的密碼，他們也會(huì)在不同的賬戶和平臺(tái)上重復(fù)使用。因此，如果他們的憑據(jù)從一個(gè)帳戶被盜，那么使用相同憑據(jù)的所有其他帳戶都有暴露的風(fēng)險(xiǎn)。

組織對登錄憑據(jù)使用可預(yù)測的分類法，從而創(chuàng)建易于檢測的模式。例如，通常使用員工的首字母和姓氏加上公司名稱作為登錄ID。

許多組織繼續(xù)將憑據(jù)、API密鑰、加密密鑰和密碼存儲(chǔ)在明文或加密較差的數(shù)據(jù)庫中。因此，攻擊者可以泄露這些數(shù)據(jù)庫，并使用它們來暴力破解API和應(yīng)用程序。

組織仍然依賴密碼或密鑰作為唯一的身份驗(yàn)證機(jī)制。即使組織使用MFA（多因素身份驗(yàn)證），如果缺乏適當(dāng)?shù)氖跈?quán)和基于角色的訪問控制措施，它們?nèi)匀惶幱陲L(fēng)險(xiǎn)之中。

此外，組織經(jīng)常忽視實(shí)施多層安全措施（例如帳戶鎖定和速率限制）的重要性，以防止暴力破解攻擊。

暴力破解攻擊的常見目標(biāo)

如果您的網(wǎng)站/ API/應(yīng)用程序/系統(tǒng)需要用戶身份驗(yàn)證，它將成為威脅行為者的目標(biāo)。暴力破解攻擊比其他攻擊更容易編排，因?yàn)楣粽卟恍枰獟呙韬烷_發(fā)利用漏洞的方法。

然而，電子商務(wù)API、應(yīng)用程序和站點(diǎn)是這些攻擊的最常見目標(biāo)。這是因?yàn)樗鼈兲幚碇Ц恫⒖梢栽L問大量敏感的客戶數(shù)據(jù)，如PII、銀行信息、信用卡詳細(xì)信息等。假設(shè)攻擊者獲得了對電子商務(wù)API或站點(diǎn)的訪問權(quán)。在這種情況下，他們可以很容易地進(jìn)行數(shù)據(jù)泄露、金融盜竊、身份盜竊、在暗網(wǎng)上出售用戶信息等操作。這會(huì)導(dǎo)致用戶之間的不信任，并影響組織的聲譽(yù)。

暴力破解API為何如此危險(xiǎn)？

影響

暴力破解對API的影響是嚴(yán)重和破壞性的。由于API本身就暴露了數(shù)據(jù)和功能，攻擊者會(huì)強(qiáng)制他們發(fā)現(xiàn)登錄憑據(jù)和API密鑰來訪問用戶帳戶和應(yīng)用程序，以發(fā)現(xiàn)更多漏洞。

通過暴力破解API，攻擊者還可以導(dǎo)致其他用戶的停機(jī)和崩潰。他們可以通過暴力破解API來鎖定合法用戶，并為登錄失敗設(shè)置鎖定機(jī)制。

成功的登錄嘗試使攻擊者能夠泄露用戶信息、密鑰等，然后在暗網(wǎng)上出售。他們還可以傳播惡意軟件，參與帳戶接管，并執(zhí)行其他攻擊

其他原因

· 它們易于編排，尤其是在自動(dòng)化工具和機(jī)器人易于租用的情況下。

· 弱密碼問題仍然存在。

· 即使攻擊者沒有發(fā)現(xiàn)或不能使用其他漏洞，暴力破解攻擊也能起作用。

防止暴力破解API攻擊

暴力破解攻擊檢測

在了解如何預(yù)防暴力破解攻擊之前，組織需要了解如何檢測它。首先，組織需要使用特定于API的、直觀的安全解決方案，來持續(xù)監(jiān)控傳入流量和用戶行為。

違規(guī)訪問

安全解決方案必須在發(fā)生異?；顒?dòng)時(shí)提供實(shí)時(shí)警報(bào)和觸發(fā)器。只有這樣，組織才能立即采取行動(dòng)阻止攻擊。特定于API的安全解決方案必須包括配備AI-ML和威脅情報(bào)的自動(dòng)掃描工具，以查找允許暴力破解攻擊的身份驗(yàn)證漏洞。此外，組織還必須使用手動(dòng)滲透測試來發(fā)現(xiàn)身份驗(yàn)證缺陷和其他允許暴力破解API的弱點(diǎn)。

強(qiáng)密碼策略和多因素身份驗(yàn)證

這是防止暴力破解API和其他攻擊的最重要方法： 

· 創(chuàng)建包含字母、數(shù)字和特殊字符的復(fù)雜密碼；

· 拒絕通用密碼和弱密碼以增強(qiáng)安全性；

· 在創(chuàng)建用戶名和密碼時(shí)避免常見模式；

· 確保密碼定期過期，不允許重復(fù)使用以前的密碼；

· 教育用戶為個(gè)人賬戶或平臺(tái)設(shè)置不同密碼的重要性；

· 探索采用密碼管理器或采用無密碼身份驗(yàn)證；

· 防止以明文形式存儲(chǔ)密碼、密鑰和憑據(jù)；

· 將2FA或MFA作為API和網(wǎng)站的強(qiáng)制性措施，特別是那些授予敏感數(shù)據(jù)和功能訪問權(quán)的措施，以便為API和帳戶提供了額外的保護(hù)。

強(qiáng)大的訪問控制和授權(quán)策略

即使成功登錄，攻擊者也不應(yīng)該能夠訪問太多敏感信息。這就是為什么需要基于角色的訪問控制和強(qiáng)授權(quán)策略。另外，請確保關(guān)閉未使用的帳戶，特別是高權(quán)限帳戶。

鎖定策略

如果失敗次數(shù)超過設(shè)置的限制，帳戶將被自動(dòng)鎖定。只有管理員才能在用戶驗(yàn)證后解鎖該帳戶。請記住，攻擊者可能會(huì)通過暴力破解來鎖定組織的合法用戶，以此對組織造成信任和聲譽(yù)損失。這就是為什么組織需要禁止從同一IP地址對不同的帳戶進(jìn)行多次登錄嘗試。

漸進(jìn)式延遲

組織還可以在登錄嘗試失敗后暫時(shí)鎖定帳戶，并在每次失敗的登錄之間實(shí)現(xiàn)漸進(jìn)式延遲，以減緩暴力破解攻擊。

智能實(shí)現(xiàn)驗(yàn)證碼質(zhì)詢

暴力破解工具和機(jī)器人無法執(zhí)行驗(yàn)證碼質(zhì)詢。因此，組織可以通過實(shí)現(xiàn)這些質(zhì)詢來為攻擊者制造障礙。組織所選的安全解決方案必須基于實(shí)時(shí)洞察智能地實(shí)現(xiàn)這些質(zhì)詢。

機(jī)器人緩解

由于現(xiàn)代暴力破解攻擊廣泛利用機(jī)器人和自動(dòng)化工具，組織必須使用提供智能、完全管理的機(jī)器人緩解功能的安全解決方案。

本文翻譯自：https://gbhackers.com/brute-force-attacks/如若轉(zhuǎn)載，請注明原文地址