image

VS waarschuwt voor lastig te detecteren bruteforce-aanvallen

woensdag 28 maart 2018, 10:33 door Redactie, 10 reacties

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) waarschuwt organisaties voor lastig te detecteren bruteforce-aanvallen die tegen organisaties in zowel de VS als daarbuiten worden ingezet. Bij een typische bruteforce-aanval probeert een aanvaller in hoog tempo allerlei wachtwoorden om zo toegang tot een account te krijgen.

Dit kan er echter voor zorgen dat het account tijdelijk wordt geblokkeerd. Volgens het US-CERT is het algemeen beleid om een account na een bepaald aantal mislukte pogingen in een bepaalde tijd tijdelijk te blokkeren. Bij bruteforce-aanvallen die van "password spraying" gebruikmaken, ook bekend als de "low and slow" methode, probeert een aanvaller één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt.

Voor het uitvoeren van dergelijke aanvallen voeren de aanvallers verschillende voorbereidende stappen uit. Zo worden social engineering en online onderzoek uitgevoerd om organisaties en accounts te identificeren die via password spraying worden aanvallen. Bij de aanval maakt men vervolgens gebruik van eenvoudig te raden wachtwoorden en publiek beschikbare tools. Zodra er een account is gehackt wordt de adreslijst gedownload en wordt de aanval tegen meerdere accounts uitgebreid.

Organisaties kunnen password spraying herkennen aan een groot aantal inlogpogingen op hun SSO-portal of webapplicatie die van een enkel ip-adres afkomstig zijn. Andere aanwijzingen zijn inlogpogingen van medewerkers afkomstig van afwijkende ip-adressen. Om de aanvallen tegen adviseert US-CERT het gebruik van multifactor-authenticatie en het controleren van het wachtwoordbeleid.

Reacties (10)
28-03-2018, 11:22 door buttonius
Ik denk dat programma's als fail2ban ook wel triggeren op "password spraying" aanvallen. Fail2ban blokkeert verkeer van hosts waarvandaan, binnnen beperkte tijd, veel mislukte login pogingen worden gedaan. Zo'n blokkering is tijdelijk; een aanval wordt er gigantisch door vertraagd en dat is genoeg om een aanval vanaf één bron zo goed als kansloos te maken.
Aanvallers zullen, om een kans te maken binnen redelijke tijd een werkend wachtwoord te vinden, vanaf vele hosts tegelijk moeten werken. Dat is toch een stuk lastiger.
28-03-2018, 11:58 door Anoniem
Door buttonius: Ik denk dat programma's als fail2ban ook wel triggeren op "password spraying" aanvallen. Fail2ban blokkeert verkeer van hosts waarvandaan, binnnen beperkte tijd, veel mislukte login pogingen worden gedaan. Zo'n blokkering is tijdelijk; een aanval wordt er gigantisch door vertraagd en dat is genoeg om een aanval vanaf één bron zo goed als kansloos te maken.
Aanvallers zullen, om een kans te maken binnen redelijke tijd een werkend wachtwoord te vinden, vanaf vele hosts tegelijk moeten werken. Dat is toch een stuk lastiger.

Als je goed leest, is dat dus niet het geval. Fail2ban blokkeerd alleen als er in een korte tijd veel foute inlogpogingen geweest zijn. Deze aanval die hier besproken wordt, zit een behoorlijke tijd tussen de ene en de andere poging waardoor fail2ban hem niet blokkeerd !
28-03-2018, 18:02 door Anoniem
Door Anoniem:
Door buttonius: Ik denk dat programma's als fail2ban ook wel triggeren op "password spraying" aanvallen. Fail2ban blokkeert verkeer van hosts waarvandaan, binnnen beperkte tijd, veel mislukte login pogingen worden gedaan. Zo'n blokkering is tijdelijk; een aanval wordt er gigantisch door vertraagd en dat is genoeg om een aanval vanaf één bron zo goed als kansloos te maken.
Aanvallers zullen, om een kans te maken binnen redelijke tijd een werkend wachtwoord te vinden, vanaf vele hosts tegelijk moeten werken. Dat is toch een stuk lastiger.

Als je goed leest, is dat dus niet het geval. Fail2ban blokkeerd alleen als er in een korte tijd veel foute inlogpogingen geweest zijn. Deze aanval die hier besproken wordt, zit een behoorlijke tijd tussen de ene en de andere poging waardoor fail2ban hem niet blokkeerd !
Het is maar net hoe je fail2ban configureert. Je kan ook de findtime verhogen naar een dag.

Nieuwsbericht: ook bekend als de "low and slow" methode, probeert een aanvaller één wachtwoord tegen een groot aantal accounts.
Het nieuwsbericht heeft het over het blokkeren van een specifiek account. Fail2ban blokkeert na (b.v.) de 5e poging het complete source-IP, niet de account. Of dat de 5e poging is op 1 account, of de 1e poging op 5 accounts is: 5 matches blijft 5 matches.

Mijn SSH accepteert alleen keys van known IP's. Brute force attacks hebben erg veel zin (not).
28-03-2018, 18:56 door Anoniem
Een wachtwoord wordt omgezet in een hash. De aantallen identieke ingevoerde wachtwoorden bijhouden, ongeacht username zou een dergelijke aanval al snel blootstellen. Dit uiteraard, even simpel gezegd.
28-03-2018, 19:31 door Anoniem

Als je goed leest, is dat dus niet het geval. Fail2ban blokkeerd alleen als er in een korte tijd veel foute inlogpogingen geweest zijn. Deze aanval die hier besproken wordt, zit een behoorlijke tijd tussen de ene en de andere poging waardoor fail2ban hem niet blokkeerd !

Volgens mij kan je bij fail2ban gewoon een tijdsperiode definieren.
28-03-2018, 20:06 door Anoniem
Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time? En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is? Dan moeten de aanvallers er in slagen het juiste IP te raden en dit succesvol kunnen spoofen dan heb je al juiste een combinatie van b.v. username*password*uniek_ip*instelbaar_timewindow nodig.
28-03-2018, 23:11 door Anoniem
gewoon een sterk wachtwoord gebruiken
28-03-2018, 23:19 door Anoniem
Door Anoniem: Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time?
Omdat meer firewall rules meer CPU-time betekend. Je kan natuurlijk bannen voor eeuwig. Maar dat zit niet standaard in fail2ban (actions.d, schrijf naar een file).

En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is?
"geen enkele dienst"? Wat definieer je als een dienst?

SSH kan je afregelen per user / src-IP. Zelfs met GeoIP! Mail / HTTP kan dat ook. Transmission (torrent client) doet ook ACL's op basis van netmask. Etc. etc. etc. Waar wil je een voorbeeldje van? :-)
29-03-2018, 08:53 door Anoniem
Door Anoniem:
Door Anoniem: Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time?
Omdat meer firewall rules meer CPU-time betekend. Je kan natuurlijk bannen voor eeuwig. Maar dat zit niet standaard in fail2ban (actions.d, schrijf naar een file).

En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is?
"geen enkele dienst"? Wat definieer je als een dienst?

SSH kan je afregelen per user / src-IP. Zelfs met GeoIP! Mail / HTTP kan dat ook. Transmission (torrent client) doet ook ACL's op basis van netmask. Etc. etc. etc. Waar wil je een voorbeeldje van? :-)

Fail2ban kan ook client ip's een bad reputation toedelen en langere tijd geblokkeerd houden ;)
29-03-2018, 16:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time?
Omdat meer firewall rules meer CPU-time betekend. Je kan natuurlijk bannen voor eeuwig. Maar dat zit niet standaard in fail2ban (actions.d, schrijf naar een file).

En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is?
"geen enkele dienst"? Wat definieer je als een dienst?

SSH kan je afregelen per user / src-IP. Zelfs met GeoIP! Mail / HTTP kan dat ook. Transmission (torrent client) doet ook ACL's op basis van netmask. Etc. etc. etc. Waar wil je een voorbeeldje van? :-)

Fail2ban kan ook client ip's een bad reputation toedelen en langere tijd geblokkeerd houden ;)
Euh, wat bedoel je? Fail2ban kent geen "reputation".
Fail2ban heeft jails op basis van filters en actions.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.