Tấn công Brute Force do Cyber Actors tiến hành
Kiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Hãy cùng tìm hiểu kĩ hơn về tầm ảnh hưởng và cách khắc phục các cuộc tấn công này trong bài viết sau của Bizfly Cloud nhé!
1. Hệ thống bị ảnh hưởng
Hệ thống mạng
2. Tổng quan
Theo những thông tin thu thập được từ các cuộc điều tra của FBI, các nhân tố ảo (Cyber Actors) độc hại ngày càng được sử dụng nhiều hơn trong các cuộc tấn công Brute Force, là kiểu tấn công tìm được mọi mật khẩu với mọi loại mã hóa, các cuộc tấn công Brute Force liên tục nhắm tới các tổ chức ở Hoa Kỳ và ở nước ngoài.
Vào tháng 2 năm 2018, Bộ Tư pháp quận phía Nam New York, đã buộc tội 9 công dân Iran, về tội tấn công xâm nhập máy tính liên quan đến những hoạt động được mô tả trong báo cáo.
Toàn bộ 9 tội phạm này đều có liên quan đến viện Mabna. Tuy nhiên, các kỹ thuật và hoạt động được nêu trong báo cáo, được cho rằng không chỉ giới hạn trong việc sử dụng bởi nhóm này.
Hiện tại, Bộ An ninh Nội địa (DHS) và Cục điều tra liên bang (FBI) đang tiến hành công bố cảnh báo này để cung cấp thêm thông tin về những hoạt động này.
3. Mô tả
Trong cuộc tấn công brute-force truyền thống, một kẻ tấn công độc hại nào đó sẽ ra sức cố gắng truy cập trái phép vào một tài khoản bằng cách đoán biết mật khẩu.
Việc cố gắng truy nhập này có thể nhanh chóng dẫn đến hậu quả việc tài khoản bị khóa, vì các chính sách khóa tài khoản thông thường, mỗi lần truy nhập chỉ cho phép có từ 3-5 lần đăng nhập sai. Trong một cuộc tấn công mật khẩu (hay còn được gọi là phương pháp "low and slow"), kẻ tấn công sẽ cố gắng truy nhập nhiều tài khoản với cùng một mật khẩu, trước khi tiếp tục với mật khẩu thứ hai,... Kỹ thuật này do đó sẽ giúp cho tấn công không bị phát hiện, bằng cách lách được việc bị lockout.
Chiến dịch tấn công mật khẩu thường nhắm mục tiêu vào những ứng dụng đăng nhập một lần (SSO, single sign-on, SSO là một cơ chế xác thực yêu cầu người dùng đăng nhập vào chỉ một lần với một tài khoản và mật khẩu để truy cập vào nhiều ứng dụng trong 1 phiên làm việc) và những ứng dụng dựa trên đám mây sử dụng các giao thức xác thực liên kết. Kẻ tấn công có thể nhắm mục tiêu vào những giao thức cụ thể này bởi vì sự xác thực liên kết giúp che giấu các traffic độc hại. Ngoài ra, bằng cách nhắm mục tiêu vào các ứng dụng SSO, những kẻ tấn công hy vọng sẽ tối đa hóa quyền truy cập vào những quyền sở hữu trí tuệ trong suốt quán trình của cuộc thỏa hiệp thành công đó.
Các ứng dụng Email cũng là mục tiêu tấn công không thể không kể đến trong danh sách mục tiêu này. Trong những trường hợp này, kẻ tấn công có khả năng lợi dụng sựu đồng bộ của hộp thư đến, nhằm:
(1) Chiếm quyền truy cập trái phép vào email của tổ chức trực tiếp từ đám mây.
(2) Sau đó tải thư người dùng vào các file email được lưu trữ cục bộ.
(3) Xác định toàn bộ danh sách địa chỉ email của công ty
(4) Lén lút thực hiện các quy tắc của hộp thư đến trong việc chuyển tiếp (forward) các tin nhắn gửi và nhận.
4. Công nghệ
Các thủ tục và kĩ thuật truyền thống (TTPs) được thực hiện trong các cuộc tấn công mật khẩu như sau.
- Sử dụng các thủ đoạn kỹ thuật xã hội nhằm thực hiện các cuộc nghiên cứu trực tuyến (tức là tìm kiếm của Google, LinkedIn,...), để xác định các tổ chức mục tiêu và tài khoản người dùng cụ thể cho việc khởi tạo mật khẩu.
- Sử dụng những mật khẩu dễ đoán (easy-to-guess passwords, VD như: Winter2018, Password123!) và những công cụ công khai sẵn có, để thực hiện một cuộc tấn công mật khẩu vào các tài khoản mục tiêu, bằng cách sử dụng những ứng dụng SSO (hoặc những ứng dụng dựa trên web) và các phương pháp xác thực liên kết.
- Tận dụng nhóm tài khoản đã bị thỏa hiệp ban đầu, download danh sách địa chỉ toàn cầu (Global Address List, GAL) từ email của khách hàng mục tiêu, và thực hiện một cuộc tấn công mật khẩu rộng lớn hơn đối với những tài khoản hợp pháp.
- Sử dụng quyền truy cập bị thỏa hiệp để cố gắng mở rộng quyền truy cập theo chiều ngang (VD như thông qua giao thức Remote Desktop Protocol) trong network và thực hiện truyền khối lượng lớn dữ liệu, sử dụng các công cụ File Transfer Protocol, ví dụ như FileZilla...
Các chỉ thị của cuộc tấn công bằng mật khẩu bao gồm.
- Một sự tặng vọt khổng lồ đột biến trong nỗ lực đăng nhập vào cổng SSO của các doanh nghiệp hoặc các ứng dụng dựa trên web.
- Sử dụng các công cụ tự động, các nhân tố độc hại để cố gắng truy cập bằng hàng ngàn lần đăng nhập, chống lại nhiều tài khoản người dùng tại tổ chức là nạn nhân, có nguồn gốc từ một địa chỉ IP và máy tính (VD như một chuỗi User Agent chung).
- Các cuộc tấn công thường diễn ra trong vòng 2 tiếng.
- Những đăng nhập của nhân viên từ các địa chỉ IP phân giải đến các vị trí không phù hợp với vị trí bình thường của họ.
5. Môi trường nạn nhân điển hình
Theo thống kê, phần lớn nạn nhân của những cuộc tấn công mật khẩu có những đặc điểm chung như sau đây:
- Sử dụng ứng dụng SSO hoặc ứng dụng dựa trên web với phương pháp xác thực liên kết.
- Thiếu sự xác thực đa năng (MFA).
- Sử dụng các mật khẩu quá dễ đoán (VD: Winter2018, Password123!,...)
- Sử dụng đồng bộ hóa hộp thư đến, cho phép gửi email từ môi trường đám mây đến các thiết bị từ xa.
- Cho phép thiết lập chuyển tiếp email ở cấp người dùng.
- Thiết lập logging giới hạn tạo ra khó khăn trong quá trình điều tra sau sự kiện.
6. Ảnh hưởng
Sự xâm nhập mạng thành công có thể gây ra những tổn hại vô cùng nghiêm trọng, đặc biệt nếu sự thoả hiệp trở thành thông tin công khai và nhạy cảm bị phơi bày.
Có thể kể đến các ảnh hưởng sau đây:
- Tạm thời hoặc vĩnh viễn mất đi những thông tin nhạy cảm hoặc độc quyền.
- Sự gián đoạn các hoạt động thông thường.
- Tổn thất về tài chính để khôi phục hệ thống và các tệp thông tin.
- Gây tổn hại cho danh tiếng và vị thế của tổ chức.
7. Giải pháp
Giảm nhẹ
Các bước sau sẽ giúp ngăn chặn các cuộc tấn công mật khẩu:
- Kích hoạt MFA và xem xét lại các cài đặt MFA để đảm bảo bao quát được hết tất cả các giao thức đang hoạt động, các giao thức internet.
- Kiểm tra lại các chính sách về mật khẩu để đảm bảo rằng chúng phù hợp với các hướng dẫn mới nhất của NIST và ngăn cản việc sử dụng các mật khẩu dễ đoán.
- Kiểm tra lại sự quản lý các mật khẩu của IT helpdesk liên quan đến những mật khẩu ban đầu, đặt lại mật khẩu cho người dùng bị khóa và những tài khoản được chia sẻ. Các thủ tục mật khẩu của IT helpdesk có thể không phù hợp với chính sách của công ty, tạo ra khoảng trống bảo mật có thể bị khai thác.
- Hiện nay đã có khá nhiều công ty cung cấp các công cụ và dịch vụ, giúp phát hiện và ngăn chặn các cuộc tấn công bằng mật khẩu, chẳng hạn như blog của Microsoft được phát hành vào ngày 5 tháng 3 năm 2018.
Thông báo
FBI khuyến khích người đọc hãy báo cáo các thông tin nghi ngờ liên quan đến các hoạt động tội phạm, tới văn phòng địa phương của FBI hoặc văn phòng của CTV Cyber Watch 24/7 của FBI (CyWatch). Xác định địa chỉ văn phòng FBI gần bạn nhất tại link sau: www.fbi.gov/contact-us/field. Nếu bạn muốn liên lạc với CyWatch, hãy gọi điện thoại theo số: (855) 292-3937, hoặc qua e-mail: CyWatch@ic.fbi.gov. Báo cáo bạn gửi phải bao gồm ngày tháng, thời gian, địa điểm, loại hoạt động, số người và loại thiết bị được sử dụng cho hoạt động, tên của công ty hoặc tổ chức đệ trình kèm thông tin liên lạc. Các yêu cầu về báo chí phải được gửi tới Văn phòng Báo chí Quốc gia của FBI tại npo@ic.fbi.gov hoặc (202) 324-3691.
Có thể bạn quan tâm: Triển khai SSL/ TLS chấp nhận export-grade RSA keys (tấn công FREAK)
Theo Bizfly Cloud chia sẻ
