Hvordan fungerer et Brute Force Angreb og hvordan holder du din organisation sikker
Patologien for et Brute Force Angreb og hvordan man håndterer dem
This post is also available in:
English
Cybersikkerhed er blevet et vigtigt tandhjul i enhver virksomhed, uanset profil. Virksomhedsejere har lært, at ondsindede angreb og hackere ikke må undervurderes. En ransomware-rapport udarbejdet af Coveware viser, at virksomheder i gennemsnit har skulle betale 84.000 dollars for at hente data, der er krypteret af Ryuk og Sobinoki. Den samme rapport nævner også, at succesraten på dataindhentning efter betaling er 98%.
Opmuntrende, men ikke nøjagtigt en forsikring. Ransomware er ikke den eneste malware, der rammer virksomheden. Heimdal™ Security har sammen med mange andre cybersikkerhedsaktører ‘set’, hvad der bedst kan beskrives som en genopblussen af Brute Force Angreb, en af de mest rudimentære, men uventet effektive cyber angreb.
Normalt neutraliseres brute force-angreb enten af en installeret anti-ondsindet agent med flere funktioner eller ved at ændre login regler og politikker. Men, omstændighederne udelukker imidlertid, at der opstilles et passende forsvar.
I denne artikel skal vi tage et ekstra kig på Brute Force Angreb – hvad de er, hvordan de fungerer og hvordan man opstiller en ordentlig forsvarsstrategi. Vi vil også berøre spørgsmålet om BFA-genopblussen og præsentere Heimdal™ Security’s telemetri, idet vi forsøger at forbinde fjernarbejde med Brute Force Attacks.
Pathologien i et Brute Force Attack
I kryptografi er et Brute Force Attack* en type cyberangreb, som forsøger på at ‘gætte’ adgangskoden på en specifik maskine. Det kaldes også et kryptanalytisk angreb, da brute force angreb er afhængige af kryptologiske funktioner for at ‘knække’ koden og infiltrere maskinen.
Mange mener, at BFA’er er rå, rudimentære og uslebne. Intet kunne være længere væk fra sandheden. I henhold til artiklen A Study of Passwords and Methods Used in Brute-Force SSH Attacks af Jim Owens og Jeanna Matthews fra Clarkson University’s Institut for Computer Science, er brute-force-angreb stærkt afhængige adgangskodeordbøger og kryptologiske “magiske tricks”, som lader de ondsindede aktører gætte brugerens legitimationsoplysninger.
Den enestående analogi er en digital hængelås – angriberen, vil uden at have nogen ide om adgangskodens sammensætning, som i tilfælde af hængelås er en kombination af tal (dvs. nogle endda anvender alfanumeriske symboler) forsøge at låse den imaginære sikkerhedsenhed op ved at permutere numrene eller symbolerne. Læserne, der er velbevandrede inden for peg-og-klik genren, vil uden tvivl genkende denne analogi som det mest kedelige og tidskrævende puslespil.
Disse kryptologiske kurioser er intet, hvis ikke ‘intelektuelle’. Ovennævnte undersøgelse påpeger, at selv det ‘tyndeste’ angreb anvender avancerede angrebsmønstre til at gætte adgangskoder. Siden vi kigger nysgerrigt på emnet, kan læseren måske være interesseret i at vide, at ikke alle operativsystemer reagerer på samme måde, når de støder på et brute-force-angreb.
For eksempel afslører en undersøgelse foretaget af cybersecurity mi2g, at maskiner, der kører Linux, er mere sårbare over for brute-force-attacks sammenlignet med dem, der kører Microsofts proprietære operativsystemer eller Mac OSX. Skønt de er opmærksomme på deres sårbarheder, har Linux-softwareingeniører endnu ikke fundet en løsning til at løse dette udnyttelige loop.
Brute-force-attacks på en maskine eller et netværk er en anstrengende proces og under normale omstændigheder foregår de med en lav succesrate. Det kræver en masse processorkraft at ‘gætte’ den rigtige rækkefølge af alfanumeriske symboler, for ikke at nævne tid.
GPU-assisterede Brute Force Angreb
I en artikel skrevet til Codding Horror’s blog påpegede forfatter Jeff Atwood, at hardware-assisterede brute force angrebsmetoder har vist sig at være mere effektive sammenlignet med metoder hvor man kun bruger CPU. Atwood, der foretog omfattende undersøgelser af hardware assisterende kode-cracknings systemer, sagde, at BFA’er, der er sikkerhedskopieret af GPU’er, kan øge hastigheden med en faktor på 25. Som forsvar for hans erklæring citerede Atwood Vladimir Katalovs artikel.
Katalov, administrerende direktør for ELCOMSOFT (desktop-, mobil- og cloud-forensics-udbyder), skrev, at GPU-forstærkede BFA’er er 25 gange hurtigere og kan hvor som helst knække en adgangskode i løbet af nogle minutter til et par dage, til at sammenligning med GPU-forsøg som kan tage to til tre måneder om at afkode et Windows-login.
Til dette eksperiment brugte ELCOMSOFT en Nvidia 8800 Ultra GPUS, som på det tidspunkt var omkring $ 800 værd. Katalov nævnte dog, at tilfredsstillende resultater også kunne være opnået ved at bruge et $ 150 dedikeret grafikkort.
Artiklen konkluderede, at det GPU-uassisterede kode-craksnings system ville bruge flere måneder til at behandle et kodeord på otte tegn, der består af store og små bogstaver og yderligere symboler.
Der ville være omkring 55 billioner (52 til den ottende magt) mulige adgangskoder. Windows Vista bruger NTLM-hashing som standard, så ved hjælp af en moderne dual-core PC kan du teste op til 10.000.000 adgangskoder pr. Sekund og udføre en komplet analyse på cirka to måneder.
Ved at forenkle mekanismen kan man sige, at forandring af perspektivet er det, der får brute-force-angreb til at virke. Lad os bygge videre på den sidste erklæring.
(*) Angribere kan også prøve at ‘gætte’ nøglen (info, der bestemmer output af en kryptoalgoritme. Dette kaldes en udtømmende nøglesøgning (angreb)). Den udføres via en metode, der kaldes en Key Derivation Funktion.
Brute-Force angreb efter angrebsmønster
Afhængigt af angrebsmønsteret kan Brute Force Attacks opdeles i to hovedkategorier:
1. KODE-AFHÆNGIGE BFAS
Den mest almindelige form for et password-afhængigt brute-force-angreb er den, der drager fordel af brugernavn og kodeordspar(ing). Det er ikke ualmindeligt, at maskiner ‘sikres’ ved hjælp af brugernavn og adgangskodepar som:
Username: root Password: root | Username: guest Password: guest | Username: admin Password: admin |
Kode-afhængige BFA’er kan potentielt redegøre for variationer i brugernavne og adgangskoder. For eksempel kan admin-brugernavnet indeholde et numerisk præfiks (eller suffiks). Det samme kodegenererende princip kan anvendes, når man formulerer den adgangskode, der er knyttet til brugernavnet.
Username: root123 Password: root123 | Username: guest56% Password: guest56% | Username: admin983 Password: admin983 |
Brugernavn og adgangskodepar behøver ikke være generiske eller semantisk relaterede til adgangsstyrings fordelte roller: gæst, admin, webmaster, bruger osv. De kan også indeholde navne eller efternavne, hvor sidstnævnte kategori er mere udbredt end den første. Navne/efternavnsparet kan ledsages af alfanumeriske tegn for yderligere styrke. Det er ikke ualmindeligt at finde forskelligheder i generering af brugerpas (dvs. adgangskode stemmer ikke overens med brugernavnet eller vice versa)
Som et resultat kan en maskine ved opstart acceptere følgende legitimationsoplysninger:
Username: Joshua Password: Joshua | Username: joshua569 Password: joshhua569 | Username: Joshua563 Password: admin |
Ondsindede aktører kan drage fordel af visse fællesforhold i oprettelse af adgangskode og brugernavn for at lette infiltration. For yderligere oplysninger om password faux pas, se Bianca Soares artikel Adgangskode fejl, du og dine medarbejdere (sandsynligvis) laver, og Miriam Cihodariu’s adgangskode gennemgang af Top 550+ sjoveste adgangskoder, der nogensinde er fundet.
2. BFAS MED ANGREBSORDBØGER
Angrebsordbøger er omfattende databaser, der indeholder brugernavn- og adgangskodepar, der blev brugt i tidligere angreb fra brute-force. BFA’er, især dem, der er målrettet mod HVT’er (high-value-targets) anvender delte angrebsordbøger (dvs. ordbøger, der bruges til at udføre flere angreb, mod de samme maskiner). Den største fordel ved at bruge denne slående metode ligger i ordbogens medfødte evne til at kompensere for ortografiske og fonetiske variationer. For eksempel kan ”root”, et af de mest almindelige Windows-login-brugernavne have et vilkårligt antal repræsentationer. Desuden kan det også indkapsle numeriske og andre typer tegn (dvs. root1, root_1, 1_root_1, r00t osv.)
Attackordbøger kan ikke downloades eller importeres, selvom der er mulighed for transponering af angrebsordbogen fra et angreb til et andet. Populære brute-force angrebssoftware som Cain & Abel, Crack, John the Ripper eller Metaspoit-projektet leveres med indbygget angrebsordbøger, der dramatisk reducerer den tid det tager at beregne et brugernavn-adgangskodepar.
Brute-force angrebsmetoder
Afhængig af den anvendte angrebsmetodik kan angreb fra brute-force opdeles i to hovedkategorier:
1. FORLÆNGET
Den målrettede maskine vil blive angrebet over en lang periode. Det kan variere fra flere dage til et par uger, afhængigt af brugernavn- og adgangskodestyrke, parlængde, beregningshastighed, kode-cracking metode og modforanstaltninger. BFA-forskning har afsløret, at en enkelt maskine kan opretholde mellem 50 og 100 brute-force-angreb pr. Dag. Adgangsanmodningerne kan også startes fra mere end en IP-adresse. Langvarige angreb fra brute-force har øget chancerne for at blive opdaget.
2. DISTRIBUTERET
‘Kirurgiske’ brute-force angreb – bedre tid, IP og angrebfordeling øger tilslørelsesfaktoren. I tilfælde af distribuerede brute-force-angreb vil loginforsøg være i form af korte og stærkt ‘koncentrerede’ forsøg (f.eks. 40 login-angreb indledt fra en enkelt IP, fordelt over 3 til 4 minutter).
Konklusioner: nedsat detekteringshastighed og øgede chancer for succes.
CASESTUDIE – BEGRÆNSNINGER AF ET BRUTE-FORCE-ATTACK
Brute-force-angreb har deres mangler. Den tilgængelige litteratur om emnet afslører, at til trods for dens ødelæggende effektivitet mod SSH-krypteringsprotokoller, har de kun næsten ingen effekt på 128-bit nøgler, såsom den, der bruges af moderne datakrypteringsalgoritmer som AES.
Argumentet er som følger:
Enhver 128-bit anses for at være beregningsmæssigt sikker mod angreb fra brute-force, da mængden af beregningsenergi krævet for at kontrollere hver genereret nøgle og cyklus gennem hvert nøgleområde ville være enorm. Endvidere ville et brute-force-angreb altid generere entropi, i betragtning af at det anvender konventionelle kodebrydende operationer.
Begrundelsen understøttes af den såkaldte Landauer-grænse. I henhold til dette fysiske princip er der en lav energitærskel for at fremstille enhver beregningstype. Det udtrykkes som
kT * ln2
* pr. hver bit, der slettes under den nævnte beregning.
Princippet dikterer, at ingen maskine kan bruge mindre energi til at udføre beregninger. Under hensyntagen til, at processoren udsender ca. 300-graders Kelvin under beregningsprocessen og ln2 er ca. 0,7, ville dette betyde, at for en standard 128-bit-nøgle, ville disse processor kræve 2128– 1 bit flips (dvs. algoritmisk manipulation af bit og data, der er kortere end et ord).
Den krævede energimængde til beregningen udgør 30 gigawatt (værdi beregnet ved anvendelse af Von Neumann-Landauer-grænsen).
For at hele processen skal udfolde sig, kræver maskinen ca. 263 terawatts i timen for at cykle gennem de såkaldte nøgletrinn. ‘Biproduktet’ af denne omfattende beregningsmæssige ‘indsats’ vil uden tvivl være entropi.
BFA – RDP-MATCHMAKING I KONTEXTEN AF POST-LOCKDOWN FASE
Sårbarheder i RDP’ens kryptering har gjort det muligt for ondsindede aktører at komme ind i maskinen uhæmmet og udføre forskellige handlinger. Heimdal™ Security telemetri afslører en svimlende stigning i angreb fra brute-force.
For eksempel er der en stigning på 25.000% i tidsrammen januar-februar sammenlignet med det foregående interval (december-januar). Skønt forvirring, i betragtning af den usædvanligt høje procentdel, er fænomenets amplitude registreret i slutningen af marts (over 9.000 brute-force-angreb på en dag). Fænomenet ser ud til at aftage i begyndelsen af april. Relativ flatline opdaget i slutningen af maj.
Vi betragter marts som det absolutte kogepunkt for brute-force-angreb – med over 150.000 angreb (i gennemsnit 5.400 brute-force-angreb pr. Dag) registreret, forekom de fleste mindst to gange om dagen, men fra forskellige IP-adresser.
I april har Heimdal™ Security’s telemetri afsløret et synligt fald, både med hensyn til intensitet og antal.
Fra maj måned, vil disse tal falde yderligere. Imidlertid bør denne pludselige ændring af tempo ikke forveksles med en tilbagevenden til normalitet, da antallet i maj er væsentligt højere sammenlignet med vores udgangspunkt (januar).
Dette pludselige fald (~ 88%) kan forklares ved, at beslutningstagerne i vores database bestiller yderligere cybersikkerhed Heimdal™ Security-modforanstaltninger for den eksterne arbejdsstyrke og den efterfølgende forstærkning af detekterings- og afbødningsnet. Den pågældende distribution drejede sig i januar om en diskontinuerlig tendens.
Vores data viser et 7-dages angrebsmellemrum, der blev signaleret i begyndelsen af måneden. I midten af januar falder mellemrummet – angrebene er nu med 2 til 3 dages mellemrum. I februar når mellemrummet den laveste bundgrænse (brute-force-angreb registreret hver dag). For så vidt angår marts og april er der ingen synlige mellemrum i BFA’er. Den samme erklæring er valideret i maj.
Statistisk analyse har afsløret, at 98,5% af angrebene har været koncentreret omkring RDP-porten (3389). Resten målrettede logon-skærmen. Der er ikke fundet kritiske overtrædelser eller data exfils. Se grafen nedenfor for at se udviklingen af BFA-fænomenet.
Håndtering af brute-force-angreb
Nedenfor finder du en liste over hurtige handlinger, du kan tage for at beskytte din maskine mod angreb fra brute-force.
1. Download Microsoft’s legacy patch
I maj 2019 frigav Microsoft patch CVE-2019-0708 for at forhindre fjernkode eksekvering via RDP. Du kan downloade programrettelsen fra Microsofts supportside.
2. Aktiver godkendelse af netværksniveau
NLA tilføjer et ekstra lag af beskyttelse, da det kræver, at brugeren skal autentificere sig selv inden sessionens start. For at gøre det skal du åbne Kontrolpanel, gå til System og sikkerhed og klikke på System.
Gå til Fjernindstillinger, klik på Fjernbetjening og derefter på Fjernskrivebord. Fremhæv indstillingen “Tillad kun forbindelser fra computere, der kører et fjernskrivebord med netværksniveau-godkendelse.”
3. Bloker TCP-port 3389 manuelt
Gå til kontrolpanel, vælg System og sikkerhed, og klik på Windows Firewall. Gå til avanceret indstilling >> Indgående regler, klik på Ny regel, og vælg derefter din port. Når du er færdig, skal du klikke på Næste. Fremhæv TCP, og vælg derefter Specifikke lokale porte. Skriv 3389. Klik på næste, skriv et navn på din nyoprettede regel, og klik derefter på Udfør.
4. Håndhæv 2FA for RDP-anmodninger
Tokens kan bruges til at håndhæve to-faktor autentisering for RDP-forbindelser. Se Microsofts dokumentation om håndhævelse af 2FA regler for opsætning og konfiguration.
5. Implementere en endpoint-sikkerhedsløsning med portblokerende funktioner
E-PDR-løsninger som Heimdal™ Next-Gen Antivirus & MDM har indbyggede modforanstaltninger, der beskytter dine endpoints mod RDP-dirigerede cyber-angreb, brute-force-angreb eller lignende.
6. Find ud af om dit endpoint er blevet udsat for et brute-force-angreb
Ifølge Microsoft har maskiner, der er angrebet og/eller kompromitteret som et resultat af et brute-force-angreb, fortællende tegn. Her er de signaler, du skal kigge efter:
- Tid på dagen og dagen i ugen ved mislykkede login- og RDP-forbindelser;
- Tidspunkt for vellykket login efter mislykkede forsøg;
- Event ID 4625 login type (filtreret til netværk og fjerninteraktivt);
- Event ID 4625-fejlgrundlag (filtreret til %% 2308, %% 2312, %% 2313);
- Kumulativ optælling af distinkt brugernavn, der ikke kunne logge ind;
- Antallet (og kumulativt antal) af mislykkede log-ins;
- Antallet (og kumulativ optælling) af RDP indgående ekstern IP;
- Antallet af andre maskiner med RDP indkommende forbindelser fra en eller flere af den samme IP.
Konklusion
Den nylige genoplivning i angreb fra brute-force beviser, at endpoints endnu ikke har opnået fuld sikkerhed. I betragtning af de rigtige omstændigheder kan selv noget så grundlæggende og groft som et brute-force-angreb være ødelæggende.