字典攻击是一种常见的网络攻击手段,攻击者通过构建和使用各种字典文件,尝试破解用户密码,进而获取系统的访问权限。在如今复杂的网络环境中,随着技术的发展和信息泄露的频繁,字典攻击的手段也日益多样化。本文结合多个实际案例,详细分析了字典构建、密码暴破的各类方法及其防御策略,旨在帮助企业和安全团队有效应对这些威胁。
字典构造与攻击手段
字典构造基础
字典构造是字典攻击的基础,通常分为间接和直接收集方式。间接方式包括利用社交工程、公开信息和已泄露的数据;直接方式则包括通过网络扫描、信息探测等手段获取目标系统的用户名和密码元素。
间接信息收集
间接信息收集是指在不与目标系统直接交互的情况下,收集可能用于字典构建的信息。这包括从社交媒体、公开泄露的数据库、企业备案信息等途径获取的用户名、邮箱地址、密码习惯等。
-
社交工程攻击:攻击者利用人类心理弱点(如信任、好奇、贪婪等),通过欺骗手段获取用户信息。例如,攻击者可能伪装成客户服务人员,向目标用户索要密码信息。
-
GitHub 泄露:GitHub 作为全球最大的代码托管平台,托管着大量的开源代码,某些代码库可能包含敏感信息(如明文密码)。攻击者可以通过特定搜索语法,快速检索目标单位是否有敏感信息泄露。
-
ICP 备案信息:在中国境内运营的网站必须进行 ICP 备案,这些信息是公开的,攻击者可以利用这些信息进一步挖掘目标企业的域名、子公司名称等,进而获取更多有价值的信息。
直接信息收集
直接信息收集是在与目标系统直接交互的过程中,收集用户名和密码元素的过程。常见的直接信息收集手段包括网络扫描、探测开放端口及服务等。
-
网络扫描与端口探测:攻击者通过扫描目标网络,探测出开放的端口和运行的服务,针对这些服务尝试使用弱密码进行暴破攻击。常见的易受攻击的服务包括 FTP、Telnet、Web 应用、数据库服务等。
-
社工库利用:社工库是指通过非法手段收集的互联网泄露的用户数据集合。攻击者利用这些数据,通过“撞库”手段尝试登录其他平台,获取更多的用户信息。
常见的攻击手段与案例分析
在实际攻击中,攻击者会根据收集到的信息,构建针对性强的字典文件,通过密码暴破等手段尝试获取系统的访问权限。以下是几种常见的攻击手段与案例分析。
GitHub 泄露
GitHub 泄露是攻击者常用的收集敏感信息的手段之一。在某案例中,攻击者通过检索公开的代码库,发现某知名云服务商的员工办公邮箱账号和密码,这些信息被进一步用于登录内部系统,导致严重的安全问题。
邮箱地址暴破
通过收集目标用户在网络上暴露的邮箱地址,攻击者可以快速分析出邮箱命名规律,并结合常用的姓氏与名字字典,生成大量的邮箱用户名列表。接下来,攻击者可以使用这些邮箱用户名列表,结合常见弱密码字典,进行暴破攻击,尝试获取目标系统的登录权限。
攻击者字典构造策略
构建高效的字典是字典攻击的关键步骤之一。以下是几种常见的字典构造策略:
用户名构造策略
- 电子邮件用户名:通过收集目标的电子邮件地址,使用常见的电子邮件命名规则(如
[email protected])生成用户名。 - 手机号码:利用目标的手机号码作为用户名,因为很多系统允许用户使用手机号码登录。
- 常见用户名组合:基于员工 ID、姓名拼音等生成各种组合,如
zhangsan、zhang.san等。 - 默认用户名:利用系统默认的用户名(如
admin、root)生成字典。 - 社交媒体用户名:从社交媒体平台收集用户名,生成字典。
密码构造策略
- 常见弱密码:如
123456、password、qwerty等。 - 基于个人信息:结合目标的姓名、生日、电话号码等信息生成密码,如
Zhangsan123、19870515等。 - 键盘模式密码:根据键盘上的字符排列生成密码,如
qwerty、asdfgh等。 - 组合密码:将常见密码与特殊字符和数字结合,生成更复杂的密码,如
Password123!、Admin@2021等。 - 短语密码:使用短语或常用语句生成密码,如
ILoveYou、LetMeIn等。 - 企业相关信息:结合公司名称、部门名称生成密码,如
Company2023、ITAdmin等。 - 密码变体:对已知密码进行变体处理,如增加前缀、后缀或替换部分字符,如
P@ssw0rd、P@ssword123!等。
典型攻击案例
攻击者通过收集某公司内部的 WiFi 密码,获得内网访问权限后,利用简单的弱密码进行初步攻击,成功获取了管理设备的权限。之后,攻击者通过 Zerologon 漏洞获取了域控制权,进一步侵入了公司 OA 系统,最终窃取了大量敏感数据。
防御策略
应对字典攻击,企业需要结合技术手段与安全意识教育,实施多层次的防御策略。
密码策略
- 及时更改初始密码:如果系统提供了初始密码,应立即修改,以确保账户的安全性。
- 复杂密码要求:密码应包含大小写字母、数字和特殊字符,长度至少为 8 个字符。
- 定期更换密码:建议每三个月更换一次密码,减少密码被猜测和破解的可能性。
- 避免使用常见密码:选择独特且难以预测的密码组合,避免使用容易被猜到的弱口令。
- 个人信息保护:不要将个人、亲友或宠物的名字作为密码,以防个人信息泄露带来的安全隐患。
- 工作与私人密码分离:避免在密码中使用与工作相关的专业术语或职业特征,减少密码被专业人士破解的机会。
- 使用密码管理器:生成、存储和管理复杂密码,减少重复使用密码的风险。
多因素认证与账户保护
- 多因素认证(MFA):除密码外,增加额外的验证步骤,如短信验证码或手机认证应用。
- 限制登录尝试次数:在连续失败登录尝试后,暂时锁定账户,防止暴力破解。
- 域名隐私保护:对于新申请的域名,要求域名商开启域名隐私保护功能,以增强域名的安全性。
- 日志记录与监控:定期检查登录日志,及时发现和响应可疑活动。
- 禁用无用账户:关闭 guest 和匿名账户,删除长期不用的系统账户和测试账户。
特权帐号管理
- 账号全生命周期管理:实现对系统账号及应用账号的新建、改密、删除等全周期管理,确保账号的安全性和合规性。
- 密码保险库:采用独立的密码保险库设计,确保账号密码存储的安全性。
- 应用业务支持:支持中间件业务系统中应用内嵌账号的管理,消除配置文件和业务系统中的明文密码。
- 运维管理:与堡垒机及日志审计功能结合,简化密码安全管理,降低密码泄露风险。
- 账号发现:自动发现多种类型的特权账号信息,确保账号的完整可见性与安全性。
- 密钥管理:自动生成、部署、轮换SSH密钥,确保登录密钥的安全性。
- 按需特权访问:建立基于运维事件的按需访问授权与审核机制,防范内部威胁。
- 数据库权限控制:对主流关系型数据库进行鉴权,防止关键数据窃取和破坏风险。
内网防护策略
在内网环境中,管理员应特别关注域环境中的密码策略,确保内网系统的安全性。
- 禁用无用账户:关闭不必要的账户,删除长期未使用的账户。
- 强密码要求:密码应包含大写字母、小写字母、数字和特殊字符,且定期更换。
- 及时更新与安装安全软件:确保操作系统和所有软件及时更新补丁,安装防病毒软件和防火墙。
- 多因素认证(MFA):增加额外的验证步骤,如短信验证码或手机认证应用。
- 加密存储:确保所有存储的密码都经过强加密处理,避免明文存储。
- 定期监控网络活动:定期检查网络中的可疑活动,及时发现和应对可能的攻击。
日志分析与监控
日志分析是渗透测试和安全审计中的关键一步。通过有效的日志分析,可以识别系统是否遭受攻击,并采取适当的防御措施。
重点资产筛选
在面对大量资产时,不可能对所有资产进行全面排查。因此,需优先筛选以下几类资产:
- 历史上曾被攻陷的资产:包括在以往的红蓝对抗、攻防演练或真实黑客攻击中被攻陷的主机。这些资产可能仍然存在安全隐患,或者在修复过程中遗漏了某些漏洞。
- 互联网暴露的脆弱资产:这些资产通过互联网直接暴露,且使用了高危漏洞频发的组件或应用,如 Weblogic、JBoss、Fastjson、Shiro、Struts2 等。
- 关键资产:如域控制器、数据库服务器、邮件服务器等,这些资产的失陷可能导致大量主机失陷或敏感数据泄露,因此应优先排查。
日志分析研判流程
通过日志分析,可以判断是否存在暴力破解的行为。例如,当攻击者尝试通过暴力破解进入系统时,无论是否成功,日志中都会记录相关信息。关注的事件 ID 主要有 4624(成功登录)和 4625(登录失败)。例如,如果登录失败次数过多,达到一定次数且分布在一个不合理的时间段,可能存在暴力破解行为。
远程桌面连接日志
攻击者可能通过远程桌面服务会话进行攻击,远程桌面连接日志是检测此类攻击的重要数据来源。日志中的关键事件 ID 包括 1149(用户认证成功)、21(远程桌面服务会话登录成功)、24(远程桌面服务会话断开)等。
防暴破策略总结
应对多样化的字典攻击,关键在于综合利用技术手段和安全意识教育,构建多层次的防御体系。通过复杂密码策略、多因素认证、内网防护、日志分析与监控等多种措施,企业可以有效降低遭受字典攻击的风险,确保系统和数据的安全。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
