Nieuws

VS waarschuwt voor lastig te detecteren bruteforce-aanvallen

woensdag 28 maart 2018, 10:33 door Redactie, 10 reacties

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) waarschuwt organisaties voor lastig te detecteren bruteforce-aanvallen die tegen organisaties in zowel de VS als daarbuiten worden ingezet. Bij een typische bruteforce-aanval probeert een aanvaller in hoog tempo allerlei wachtwoorden om zo toegang tot een account te krijgen.

Dit kan er echter voor zorgen dat het account tijdelijk wordt geblokkeerd. Volgens het US-CERT is het algemeen beleid om een account na een bepaald aantal mislukte pogingen in een bepaalde tijd tijdelijk te blokkeren. Bij bruteforce-aanvallen die van "password spraying" gebruikmaken, ook bekend als de "low and slow" methode, probeert een aanvaller één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt.

Voor het uitvoeren van dergelijke aanvallen voeren de aanvallers verschillende voorbereidende stappen uit. Zo worden social engineering en online onderzoek uitgevoerd om organisaties en accounts te identificeren die via password spraying worden aanvallen. Bij de aanval maakt men vervolgens gebruik van eenvoudig te raden wachtwoorden en publiek beschikbare tools. Zodra er een account is gehackt wordt de adreslijst gedownload en wordt de aanval tegen meerdere accounts uitgebreid.

Organisaties kunnen password spraying herkennen aan een groot aantal inlogpogingen op hun SSO-portal of webapplicatie die van een enkel ip-adres afkomstig zijn. Andere aanwijzingen zijn inlogpogingen van medewerkers afkomstig van afwijkende ip-adressen. Om de aanvallen tegen adviseert US-CERT het gebruik van multifactor-authenticatie en het controleren van het wachtwoordbeleid.

Overheid en bedrijfsleven onderzoeken zwarte lijst foute hosters

Grapperhaus kijkt naar uitbreiden PNR voor hogesnelheidstrein

Reacties (10)

28-03-2018, 11:22 door buttonius

Ik denk dat programma's als fail2ban ook wel triggeren op "password spraying" aanvallen. Fail2ban blokkeert verkeer van hosts waarvandaan, binnnen beperkte tijd, veel mislukte login pogingen worden gedaan. Zo'n blokkering is tijdelijk; een aanval wordt er gigantisch door vertraagd en dat is genoeg om een aanval vanaf één bron zo goed als kansloos te maken.
Aanvallers zullen, om een kans te maken binnen redelijke tijd een werkend wachtwoord te vinden, vanaf vele hosts tegelijk moeten werken. Dat is toch een stuk lastiger.

28-03-2018, 11:58 door Anoniem

Door buttonius: Ik denk dat programma's als fail2ban ook wel triggeren op "password spraying" aanvallen. Fail2ban blokkeert verkeer van hosts waarvandaan, binnnen beperkte tijd, veel mislukte login pogingen worden gedaan. Zo'n blokkering is tijdelijk; een aanval wordt er gigantisch door vertraagd en dat is genoeg om een aanval vanaf één bron zo goed als kansloos te maken.
Aanvallers zullen, om een kans te maken binnen redelijke tijd een werkend wachtwoord te vinden, vanaf vele hosts tegelijk moeten werken. Dat is toch een stuk lastiger.

Als je goed leest, is dat dus niet het geval. Fail2ban blokkeerd alleen als er in een korte tijd veel foute inlogpogingen geweest zijn. Deze aanval die hier besproken wordt, zit een behoorlijke tijd tussen de ene en de andere poging waardoor fail2ban hem niet blokkeerd !

28-03-2018, 18:02 door Anoniem

Door Anoniem:

Het is maar net hoe je fail2ban configureert. Je kan ook de findtime verhogen naar een dag.

Nieuwsbericht: ook bekend als de "low and slow" methode, probeert een aanvaller één wachtwoord tegen een groot aantal accounts.

Het nieuwsbericht heeft het over het blokkeren van een specifiek account. Fail2ban blokkeert na (b.v.) de 5e poging het complete source-IP, niet de account. Of dat de 5e poging is op 1 account, of de 1e poging op 5 accounts is: 5 matches blijft 5 matches.

Mijn SSH accepteert alleen keys van known IP's. Brute force attacks hebben erg veel zin (not).

28-03-2018, 18:56 door Anoniem

Een wachtwoord wordt omgezet in een hash. De aantallen identieke ingevoerde wachtwoorden bijhouden, ongeacht username zou een dergelijke aanval al snel blootstellen. Dit uiteraard, even simpel gezegd.

28-03-2018, 19:31 door Anoniem

Volgens mij kan je bij fail2ban gewoon een tijdsperiode definieren.

28-03-2018, 20:06 door Anoniem

Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time? En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is? Dan moeten de aanvallers er in slagen het juiste IP te raden en dit succesvol kunnen spoofen dan heb je al juiste een combinatie van b.v. username*password*uniek_ip*instelbaar_timewindow nodig.

28-03-2018, 23:11 door Anoniem

gewoon een sterk wachtwoord gebruiken

28-03-2018, 23:19 door Anoniem

Door Anoniem: Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time?

Omdat meer firewall rules meer CPU-time betekend. Je kan natuurlijk bannen voor eeuwig. Maar dat zit niet standaard in fail2ban (actions.d, schrijf naar een file).

En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is?

"geen enkele dienst"? Wat definieer je als een dienst?

SSH kan je afregelen per user / src-IP. Zelfs met GeoIP! Mail / HTTP kan dat ook. Transmission (torrent client) doet ook ACL's op basis van netmask. Etc. etc. etc. Waar wil je een voorbeeldje van? :-)

29-03-2018, 08:53 door Anoniem

Door Anoniem:

Door Anoniem: Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time?

Omdat meer firewall rules meer CPU-time betekend. Je kan natuurlijk bannen voor eeuwig. Maar dat zit niet standaard in fail2ban (actions.d, schrijf naar een file).

En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is?

Fail2ban kan ook client ip's een bad reputation toedelen en langere tijd geblokkeerd houden ;)

29-03-2018, 16:04 door Anoniem

Door Anoniem:

Door Anoniem: Het moet toch mogelijk zijn om foute login pogingen absloluut te blokkeren, dus zonder recovery time?

Omdat meer firewall rules meer CPU-time betekend. Je kan natuurlijk bannen voor eeuwig. Maar dat zit niet standaard in fail2ban (actions.d, schrijf naar een file).

En waarom kan je bij geen enkele dienst een IP range instellen (al dan niet op basis van geoip) vanwaar inloggen mogelijk is?

Fail2ban kan ook client ip's een bad reputation toedelen en langere tijd geblokkeerd houden ;)

Euh, wat bedoel je? Fail2ban kent geen "reputation".
Fail2ban heeft jails op basis van filters en actions.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer