凭证填充攻击是当今各地在线企业面临的最普遍的威胁之一

凭证填充攻击是当今各地在线企业面临的最普遍的威胁之一。但是，尽管这一威胁在信息安全社区的每个人的雷达上都有所上升，但对于犯罪集团如何进行这些攻击却知之甚少。凭证填充是网络安全行业用来描述针对网站或应用程序的登录系统的特定类型的自动攻击的术语。它依赖于黑客采用的用户名 - 密码组合，这些组合已经通过其他公司的数据泄露泄露，并试图使用这些泄露的凭据，希望能够访问其他网站上的帐户 - 利用用户重用用户名和密码的习惯跨多个在线服务。

凭借在LinkedIn，VK.com，Tumblr，Twitter和许多其他主要平台遭遇黑客攻击后，自2016年以来发生的巨大用户凭据泄密，凭证填充是一种相对较新的攻击媒介。

2016年，数以亿计的用户名和密码凭证在网上被丢弃，此后其他泄密事件也不断出现，为犯罪团伙提供新鲜的炮灰用于攻击。

黑客和工具

要执行凭据填充攻击，黑客组只需要三件事：泄露的凭据，软件应用程序和代理。

泄露的凭证不是问题。这些数据大部分已经在公共领域提供，或者可以在黑客论坛和黑暗网络市场上销售。

解析旧凭据列表并在远程网站上自动执行登录操作的软件应用程序也不是问题。事实上，根据未来的Recorded报告，黑客团体可以在线购买至少六种此类工具，其中包括STORM，Black Bullet，Private Keeper，SNIPR，Sentry MBA和WOXY等。

这些工具都很便宜，而且它们很少以超过50美元的价格出售。有些设计用于一次检查一个帐户(但已经过修改以进行凭证批量检查)，而其他设计则是从头开始构建或重建的，其中包括凭证填充 - 例如SNIPR和Sentry MBA。

在过去二十年中，技术世界花费了大量时间专注于创新，安全性往往是事后的想法。了解它最终如何以及为何变化。

但是如果在没有代理的面纱的情况下使用这些工具将会毫无用处，这些代理可以承受大量的登录请求并将其传播到数十万个IP地址。

如果黑客使用来自单个IP地址的任何这些工具，则在几次尝试失败后，在线提供商(或Web防火墙产品)会将该IP列入黑名单。因此，使用任何这些工具的代理是必须的。

掌握一批代理并不是很困难。事实上，它可能是黑客可以获得的三个主要工具中最容易的。他们不断在黑客论坛，XMPP垃圾邮件，黑暗网络或封闭的网络犯罪论坛上做广告，已经多年。

它们也非常便宜，并提供多种配置和选项。其中一些是被黑客入侵的服务器，一些是受恶意软件感染的移动和桌面设备，有些是家用路由器和物联网设备。

ZDNet已经了解到，黑客将使用他们可以获得的代理服务，但是目前绝大多数凭证填充攻击都是通过物联网僵尸网络进行的。

TheMoon和Linux.ProxyM是两个僵尸网络的名称，这些僵尸网络被指责通过他们感染的物联网设备和路由器来转发凭据填充攻击。

两家美国互联网服务提供商告诉ZDNet他们已经看到他们自己的客户内部部署(CPE)路由器参与凭证填充攻击。

第一家互联网服务提供商CenturyLink在1月份的一次采访中向ZDNet证实，自2018年以来，TheMoon一直在进行凭证填充攻击。

“我们在未来几个月见证了多个凭证填充受害者，”CenturyLink威胁研究和运营部门Black Lotus Labs负责人Mike Benjamin告诉我们。“虽然我们希望避免命名受害者，但描述其中一些可能有助于了解这些攻击的性质：银行，在线零售商，餐馆连锁店，视频流媒体服务。”

填写“经济”的凭证

黑客团体之所以进行此类攻击，是因为他们可以通过劫持真实用户的帐户赚钱，他们后来在黑客论坛或专门销售黑客数据的在线商店上出售。

图像：记录的未来

其他犯罪集团购买这些帐户并将其重新用于各种目的。例如，“破解”的Netflix账户作为Netflix盗版服务的一部分被重新出售;“破解”的PayPal资料被出售给所有资金账户的钱骡;虽然“破解”亚马逊帐户用于使用已附加到用户个人资料的支付卡详细信息来下达欺诈性订单。

如果黑客或欺诈者有任何方式滥用用户的帐户，那么该公司可能会在某个时刻面临凭据填充攻击。

黑客团体已经针对各种帐户发起了凭据攻击，无论他们是一个小型的妈妈和流行商店，还是Alexa Top 100门户网站。

广告拦截AdGuard，银行巨头汇丰银行，社交媒体网站Reddit，视频分享门户网站DailyMotion，交付服务Deliveroo，企业工具Basecamp，餐饮连锁店Dunkin'Donuts以及税务申报服务TurboTax等公司都公开承认在凭证的接收端填充攻击，黑客可以访问某些帐户。

定位不仅仅是公共网站

此外，黑客组织也在使用这些攻击来访问甚至没有庞大用户群的私人网站。例如，凭证填充攻击也针对WordPress站点，其中一些甚至不允许用户注册。尽管如此，黑客正在使用凭证填充来尝试猜测管理员帐户的密码，因此他们可以接管该网站并在其他恶意软件分发活动中使用它。

同样，针对RDP，Telnet和SSH端点的证书填充攻击也表明，服务器和普通工作站可以像网站一样被定位。

虽然没有公司承认过以这种方式被黑客入侵，但企业内部网或任何其他企业应用程序也容易受到这些类型的攻击。

据认为，凭证填充操作每年会产生数百亿次登录尝试，这是公司不应忽视的威胁，尤其是那些活跃在金融，零售和多媒体领域的人，根据Akamai的说法，这些领域已被定位。比其他垂直更多。

公司可以阻止凭证填充攻击的方式非常简单，涉及部署双因素身份验证以为用户帐户添加额外的安全层。