Checker und Brute-Force-Angriffe verdeutlichen die Gefahren eines schlechten Passwortmanagements

Wichtige Urteile

• Die Branchen, die am stärksten von Cyberkriminellen betroffen sind, die Checker und Brute-Force-Programme einsetzen, sind Software, Medien und Unterhaltung, E-Commerce, Finanzen und Telekommunikation.

• Bedrohungsakteure nutzen in der kriminellen Unterwelt verfügbare automatisierte Prüf- und Brute-Force-Programme mit dem Ziel, Konten zu validieren und Zugriff auf diese zu erhalten.

• Die Wiederverwendung von Passwörtern und mangelnde Hygiene bei der Passwortverwaltung gehören weiterhin zu den Hauptproblemen, die erfolgreiche Credential-Stuffing-Angriffe ermöglichen.

Hintergrund

Ausgestattet mit Anmeldeinformationen, die sie durch Datenbankverletzungen erlangt haben, können Angreifer Prüf- und Brute-Force-Angriffe durchführen, bei denen sie groß angelegte, automatisierte Anmeldeanforderungen an Websites richten, um die Gültigkeit der Konten der Opfer festzustellen und unbefugten Zugriff zu erlangen. Mit einer Investition von nur 550 US-Dollar können Kriminelle durch den Verkauf kompromittierter Anmeldeinformationen mindestens das 20-fache ihres Gewinns erzielen. Im Jahr 2019 meldete Akamai, dass das Unternehmen innerhalb von 18 Monaten mehr als 3,5 Milliarden Credential-Stuffing-Anfragen entdeckt habe, die auf Finanzinstitute abzielten.

Die Mehrheit der Checker und Brute-Force-Programme, die Recorded Future in einem Bericht aus dem Jahr 2019 analysiert hat, werden noch immer weithin verkauft und von Kriminellen verwendet. Einige davon gibt es bereits seit 2016. Die anhaltende Wirksamkeit dieser Tools ist teilweise auf eine mangelhafte Passworthygiene zurückzuführen, die es Bedrohungsakteuren ermöglicht, aus der Wiederverwendung von Passwörtern Kapital zu schlagen.

Unter Dieben gibt es keine Ehre und einige dieser Checker und Brute-Force-Programme wurden geknackt, sodass jeder interessierte Cyberkriminelle diese Tools zu einem günstigeren Preis als vom ursprünglichen Verkäufer angeboten oder völlig kostenlos nutzen kann.

Dame

Checker sind automatisierte Tools (Skripte oder Software), mit denen Cyberkriminelle die Gültigkeit von Kombinationen aus Benutzeranmeldeinformationen in großen Mengen überprüfen. Prüfer können zur Identifizierung gültiger Konten die Hauptseite der Website, die mobile App oder eine Anwendungsprogrammierschnittstelle (API) verwenden.

Bei einem Credential-Stuffing-Angriff verwendet ein Bedrohungsakteur eine Datenbank mit Benutzernamen und Passwörtern, die häufig durch Datenlecks erlangt wurden. Beispielsweise könnte ein Angreifer Anmeldeinformationen aus dem LinkedIn-Datenleck erlangt haben, bei dem 2012 170 Millionen Konten kompromittiert und 2016 im Darknet veröffentlicht wurden (1.135.936 dieser LinkedIn-Konten verwendeten das Passwort „123456“). Ein Angreifer könnte die E-Mail- und Passwort-Kombination aus dem LinkedIn-Datenbankverstoß verwenden und prüfen, ob sich mit denselben Anmeldeinformationen unbefugter Zugriff auf andere Konten des Opfers, beispielsweise ein E-Mail- oder Bankkonto, erlangen lässt. Denn die Bedrohungsakteure wissen, dass Benutzer häufig dieselben Passwörter für mehrere Websites und Plattformen verwenden. Checker automatisieren und kommerzialisieren Credential-Stuffing-Angriffe, um einfacher und schneller Zugriff auf Benutzerkonten und personenbezogene Daten (PII) zu erhalten. Tatsächlich kann die Zahl der Prüfversuche legitimer Anmeldeversuche mehr als viermal so hoch sein.

Brutale Gewalt

Brute-Force-Tools sind automatisierte Tools zum Knacken von Passwörtern, mit denen über automatisierte Serveranfragen Zugriff auf Benutzerkonten erlangt wird. Diese Tools versuchen, Passwörter oder Benutzernamen durch Versuch und Irrtum oder über einen Wörterbuchangriff zu erraten und zu knacken, was Angreifern dabei hilft, das Passwort für einen bestimmten Benutzer oder eine bestimmte Website schneller zu erraten. Teilinformationen, wie etwa ein aus einem Datendump gewonnener Benutzername, machen es einem Angreifer außerdem leichter, mit einem Brute-Force-Angriff an das Passwort zu gelangen.

Bedrohungsanalyse

Nachfolgend sind einige bemerkenswerte Sicherheitslücken aufgeführt, die aus erfolgreichen Credential-Stuffing-Angriffen resultierten:

• Im Juli 2019 gab das US-amerikanische Bank- und Versicherungsunternehmen State Farm bekannt, dass es Opfer eines Credential-Stuffing-Angriffs geworden sei, bei dem es „einem böswilligen Akteur“ gelungen sei, gültige Benutzernamen und Passwörter für die Online-Konten von State Farm zu bestätigen.

• Im Januar 2020 wurde der zu Amazon gehörende Smartkamera-Hersteller Ring mit der Klage einer Familie konfrontiert, deren Kamera im Kinderzimmer gehackt wurde. Angeblich nutzten die Kriminellen eine Liste gängiger Passwörter, um sich mit roher Gewalt Zutritt zum Ring-Kamera-Konto der Familie zu verschaffen.

• Am 30. Januar 2020 berichtete TechCrunch über einen Sicherheitsverstoß bei der indischen Fluggesellschaft SpiceJet, von dem 1,2 Millionen Passagiere betroffen waren. Berichten zufolge wurde der Zugriff auf die internen Systeme von SpiceJet durch die Eroberung des leicht zu erratenden Passworts des Systems erlangt.

Der Erfolg dieser Angriffsarten ist noch größer, wenn die Opfer dieselben Anmeldeinformationen (Benutzername und Passwort) für mehrere Online-Plattformen verwenden. Einer Studie der University of Southern California zufolge ist „die Wiederverwendung von Passwörtern weit verbreitet und wahllos; 98 % der Benutzer verwenden ihre Passwörter wortwörtlich wieder und 84 % verwenden ein wichtiges Passwort auf einer unwichtigen und wahrscheinlich weniger sicheren Site wieder; die Hauptgründe für die Wiederverwendung von Passwörtern sind ein mangelndes Risikoverständnis und die Präferenz für Merkbarkeit gegenüber Sicherheit.“

Die am stärksten betroffenen Branchen, auf die Cyberkriminelle mit Checkern und Brute-Force-Programmen abzielen, sind die Bereiche Software, Medien und Unterhaltung, E-Commerce, Finanzen sowie Telekommunikation. Die folgende Abbildung zeigt die betroffenen Sektoren über einen Zeitraum von sechs Monaten basierend auf Quellensammlungen aus dem Dark Web.

Branchen, die im Visier von Kontrolleuren und Brute-Force-Angriffen stehen. (Aufgezeichnete Zukunft)

Cyberkriminelle verwenden häufig Listen mit Tausenden von Anmeldeinformationen mithilfe automatisierter, benutzerdefinierter und handelsüblicher Tools, die im Dark Web verfügbar sind. Viele Tools unterstützen eine unbegrenzte Zahl benutzerdefinierter Plug-ins, sogenannter „Konfigurationen“, die es Cyberkriminellen ermöglichen, nahezu jedes Unternehmen mit Onlinepräsenz ins Visier zu nehmen und die Konten zu übernehmen. Es gibt auch weniger bekannte Tools, die auf einzelne bekannte Unternehmen (wie Netflix, Facebook, Instagram und Spotify) ausgerichtet sind. Wenn eine Organisation sieht, dass für ihre Marke oder Entität ein Checker beworben wird, kann dies ein Vorbote dafür sein, dass die Zahl der Credential-Stuffing-Angriffe gegen sie zunimmt.

Mithilfe dieser automatisierten Tools können Angreifer kompromittierte Benutzernamen und Passwörter für eine Reihe von Konten verwenden, darunter Bankkonten, E-Commerce-Konten, Treue- oder Prämienprogramme, soziale Medien und Online-Wallets für Kryptowährungen. Sobald die Angreifer Zugriff auf ein Konto erhalten, versuchen sie, vorhandene Guthaben und Bonuspunkte abzuschöpfen, persönliche und finanzielle Daten (wie etwa Kreditkartendaten) zu stehlen oder Betrug und Identitätsdiebstahl zu begehen. Bei automatisierten Brute-Force-Tools verwenden Angreifer häufig eine Liste gängiger Passwörter, wobei die gängigsten Kombinationen zuerst aufgeführt werden.

In vielen Foren zur kriminellen Unterwelt gibt es Bereiche, die sich speziell dem Verkauf und der Diskussion von Brute-Force- und Checker-Programmen widmen. In einem solchen Forum, das wir beobachten, gibt es Tausende von Threads, die sich mit Credential-Stuffing-Angriffen und dem Verkauf von Prüfsoftware befassen. Und das ist kein Wunder: Laut den Forendiskussionen benötigt ein Prüftool nur 90 Sekunden, um eine Datenbank mit 5.400 E-Mail-Adressen zu prüfen und dem Angreifer erfolgreiche Login- und Passwortkombinationen zurückzugeben. Dieses Tool wird in der kriminellen Unterwelt für nur 12 $ verkauft.

Ohne Tools wie diese müssten Bedrohungsakteure eigene Tools erstellen oder vorhandene konfigurieren, ein Botnetz für die Durchführung von Angriffen erstellen oder mieten und bombensichere Server zum Hosten ihrer Angriffsinfrastruktur mieten.

Ein genauerer Blick auf 1 Brute Forcer

Ein Beispieltool, das wir in der kriminellen Unterwelt gefunden haben und das wir „Big Brute Forcer“ nennen, ist in zwei Versionen erhältlich: „Basic“ für 1.000 US-Dollar und „Pro“ für 2.500 US-Dollar. Die teurere „Pro“-Version stellt dem Käufer ein komplettes Toolset und eine Infrastruktur zur Kontoprüfung und Brute-Force-Angriffen zur Verfügung. Wir haben uns aufgrund seiner Neuartigkeit, seiner Auswirkungen auf Unternehmen und seiner Automatisierungsmöglichkeiten für dieses spezielle Tool entschieden.

Big Brute Forcer verwendet für Brute-Force-Angriffe ein Botnetz, das die Rechenlast auf mehrere Maschinen verteilt und Anmeldeversuche von mehreren IPs aus zulässt. Die Verwendung mehrerer IPs bei massenhaften Brute-Force-Angriffen ermöglicht es Cyberkriminellen, einen einzelnen Angriffsursprung zu verschleiern, indem sie versuchen, von Hunderten verschiedener IP-Adressen aus auf die Konten der Opfer zuzugreifen. Big Brute Forcer verfügt über Funktionen, die es selbst ungeübten Cyberkriminellen besonders leicht machen, automatisiert eine Reihe von Brute-Force-Angriffen auf Websites und Online-Ressourcen zu starten:

• Big Brute Forcer ist eine webbasierte Anwendung, die dem Käufer verschiedene Optionen zum Starten von Brute-Force-Angriffen bietet, ohne dass eine Befehlszeile geöffnet werden muss oder spezielle technische Kenntnisse erforderlich sind.

• Big Brute Forcer wird mit technischem Support für Installation und Konfiguration geliefert.

• Der Käufer kann entweder eine eigene Domänenliste für das Bedienfeld verwenden oder eine vom Entwickler von Big Brute Forcer bereitgestellte Liste nutzen, um seine Angriffe zu steuern.

• Big Brute Forcer verfügt über vorinstallierte Wörterbücher mit Kennwortkombinationen aus verschiedenen Sicherheitslücken, die bei Angriffen verwendet werden können.

• Cyberkriminelle können ihr eigenes Big Brute Forcer-Botnetz erstellen oder ein vorgefertigtes vom Entwickler mieten.

• Der Entwickler bietet und betreibt Bulletproof-Hosting-Dienste, die direkt erworben werden können.

In der Vergangenheit hätten Bedrohungsakteure mehrere manuelle Schritte benötigen müssen, um einen erfolgreichen Brute-Force-Angriff zu starten. Sie müssten kompromittierte Anmeldeinformationen sammeln oder kaufen, Listen mit anzugreifenden Domänen und Subdomänen zusammenstellen, das Tool ihrer Wahl konfigurieren – was oft ein gewisses Maß an technischem Geschick erfordert –, ein Botnetz erstellen, von dem aus sie Angriffe starten können, und schließlich Server von Bulletproof-Hostern mieten, um ihr Control Panel zu hosten. Darüber hinaus erfordern viele Tools, die bei Credential-Stuffing-Angriffen verwendet werden, Konfigurationsdateien, die die Parameter eines Ziels definieren. Big Brute Forcer kann diese Dateien ebenfalls bereitstellen.

Auch für unerfahrene Anwender ist die grafische Benutzeroberfläche des Tools einfach und leicht zu bedienen. Es ermöglicht die Anzeige des Fortschritts von Brute-Force-Angriffen, der Geschwindigkeit von Kompromittierungen und Statistiken zu erfolgreichen und fehlgeschlagenen Zugriffsversuchen. Darüber hinaus kann der Benutzer direkt zu Listen mit Tausenden von Benutzernamen und Passwörtern sowie zu den Links zu den Anmeldeportalen der gehackten Konten wechseln. Über den Administratorzugriff auf diese Websites können Cyberkriminelle dann personenbezogene Daten und Zahlungskartendaten von Kunden stehlen. Big Brute Forcer bietet sogar die Installation von Webshells und Backdoors an, um die kompromittierten Websites zu infizieren und Daten direkt von ihnen zu stehlen.

Der Entwickler stellt außerdem ausführliche YouTube-Videos zur Verfügung, in denen erklärt wird, wie die Big Brute Forcer-Funktionalität konfiguriert wird, um den Einrichtungsprozess des Clients zu beschleunigen. In einem Video wird beispielsweise Schritt für Schritt erklärt, wie man Websites hackt, und es werden Dutzende gehackter Websites gezeigt. Während der Bedrohungsakteur die Listen mit Domänen und Subdomänen hochlädt, gibt Big Brute Forcer in weniger als einer halben Stunde Listen mit geknackten Anmelde- und Kennwortdaten zurück, die der Entwickler verwendet, um sich in Echtzeit bei diesen Websites anzumelden.

Zu den im Video gezeigten betroffenen Unternehmen zählen E-Commerce- und Unterhaltungswebsites sowie Reisebüros mit personenbezogenen Daten und Finanzdaten ihrer Kunden. Big Brute Forcer dringt wahllos in Websites und Online-Ressourcen in verschiedenen Regionen ein, darunter Europa, die USA, Asien und Brasilien. In einem Beispiel zeigt der Entwickler von Big Brute Forcer, wie er auf die Website eines neuseeländischen Sicherheitsunternehmens zugreift, das die Notwendigkeit guter Sicherheit betont und sein eigenes Engagement für den Schutz der Sicherheit seiner Kunden hervorhebt. Besonders hervorzuheben ist, dass der Admin-Panel-Login dieses Unternehmens leicht zu erraten war, da „admin“ der Benutzername und der Firmenname das Passwort war.

Minderungsstrategien

• Sensibilisieren Sie die Benutzer in Ihrer Organisation dafür, für jedes ihrer Konten eindeutige Passwörter zu verwenden. Ein Passwort-Manager würde Endbenutzern dabei helfen, eindeutige und komplexe Passwörter zu generieren, zu speichern und abzurufen.<

• Fordern Sie während des Anmeldevorgangs zusätzliche Details an (z. B. CAPTCHA oder den Nachnamen des Benutzers), um die programmierte Logik des Angreifers bei automatisierten Credential-Stuffing-Angriffen zu durchbrechen.

• Verwenden Sie wenn möglich eine Multi-Faktor-Authentifizierung (MFA). Zwar kann MFA Brute-Force- oder Checking-Angriffe nicht verhindern, es bietet jedoch eine zusätzliche Sicherheitsebene, sodass alle Anmeldeversuche böswilliger Bedrohungsakteure durch diese zusätzliche Authentifizierungsebene behindert werden.

• Legen Sie individuelle Web Application Firewall-Regeln fest und achten Sie dabei besonders auf ungewöhnliche Header-Reihenfolgen und Benutzeragenten sowie auf die Prüfung auf gültige Referrer.

• Verlangsamen und begrenzen Sie den Anmeldeverkehr absichtlich, um Angreifer abzuschrecken. Sperren Sie beispielsweise Konten nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche oder führen Sie eine Verzögerung bei den Serverantworten auf Anmeldeanforderungen ein.

• Entfernen Sie ungenutzte, öffentlich zugängliche Anmeldepfade und verstärken Sie die Kontrollen für mobile und API-Anmeldepfade.

• Basisdatenverkehr und Netzwerkanforderungen, um den Webdienst auf unerwarteten Datenverkehr zu überwachen, einschließlich Volumen und Anforderungstyp.

• Verwenden Sie Recorded Future, um kriminelle Untergrund-Communitys auf die Verfügbarkeit neuer, auf Ihre Organisation abzielender Konfigurationsdateien und deren Akquisition zu überwachen und eine gründliche Analyse dieser Dateien auf zusätzliche Angriffsindikatoren durchzuführen.

• Verwenden Sie Recorded Future, um kompromittierte Anmeldeinformationen aus Datenbankverletzungen aufzudecken, und ergreifen Sie nach der Identifizierung die entsprechenden Maßnahmen, um die Bedrohung zu beseitigen.

• Speichern Sie Client-Passwörter immer in einem gehashten Format. Lassen Sie sie niemals im Klartext. Integrieren Sie als Teil des Hashing-Algorithmus einen Salt-Wert, der von einem Angreifer nicht so leicht abgeleitet werden kann. Obwohl Hashes irreversibel sind, besteht für Angreifer die Möglichkeit, Hashes mit öffentlich verfügbaren Datenbanken mit Hashes für gängige Passwörter zu vergleichen, wenn kein Salt-Wert integriert wird.

Ausblick

Aufgrund des Erfolgs, den sie beim unbefugten Zugriff auf Benutzerkonten hatten und der Gewinne, die sie durch den Verkauf geknackter Konten in der Schattenwirtschaft erzielen, werden Cyberkriminelle auch weiterhin Checker und Brute-Force-Programme einsetzen. Diese Praxis wird weiterhin eine Bedrohung für Unternehmen und einzelne Benutzer darstellen, bis bessere Praktiken zur Kennworthygiene und Sicherheitsmaßnahmen implementiert werden. Recorded Future überwacht kontinuierlich im Dark Web beworbene und diskutierte Checker und Brute-Force-Programme, um die Kunden über Möglichkeiten zur Verbesserung ihrer Abwehrstrategien zu informieren. Mithilfe der Recorded Future-Plattform können Kunden Tools identifizieren, die auf ihre Marke oder ihr Unternehmen abzielen, was ein Hinweis darauf sein kann, dass es zu einer Zunahme der Angriffe auf sie kommen wird.