image

Australische overheid ziet toename van password spraying

vrijdag 9 augustus 2019, 11:11 door Redactie, 5 reacties

De Australische overheid heeft bedrijven en organisaties in het land gewaarschuwd voor password spraying, aangezien het een toename van deze aanval ziet om toegang tot webmail, Active Directory Federated Services (ADFS) of cloudgebaseerde diensten zoals Office 365 te krijgen.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt.

Volgens het Australische Cyber Security Centre (ACSC) vindt er een groot aantal password spraying-aanvallen tegen Australische organisaties plaats. Om detectie van dergelijke aanvallen te vergroten kunnen organisaties bepaalde regels in hun Security Information and Event Management (SIEM) oplossing of soortgelijk product aanmaken. Er moet dan worden gekeken naar een groot inlogpogingen gedurende een bepaalde tijd, een groot aantal verkeerde gebruikersnamen waarmee is geprobeerd in te loggen, een groot aantal geblokkeerde accounts en het aantal mislukte inlogpogingen per ip-adres.

Om de aanvallen te voorkomen adviseert het ACSC om multifactorauthenticatie te implementeren op alle systemen met externe toegang, het gebruik van complexe wachtwoorden via een policy te verplichten, wachtwoorden van getroffen accounts te resetten, geo blocking, ip-whitelisting of vpn's in te voeren en monitoring uit te breiden.

Reacties (5)
09-08-2019, 11:49 door Anoniem
Voor hen die de verschillen met andere wachtwoord aanvallen zijn vergeten:

Password bruteforce: 1 website, 1 account, meerdere wachtwoorden
Password spraying: 1 website, meerdere accounts, 1 wachtwoord
Credential stuffing: meerdere websites, meerdere accounts, gekraakte/gelekte wachtwoorden

Zolang je een uniek wachtwoord gebruikt (of zoals het hoort gebruik maakt van WebAuthn) heb je niets te vrezen.
09-08-2019, 14:43 door Anoniem
Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen.
Weer wat geleerd.
Ik stond al op het punt om naar de winkel te gaan voor een buske password spray.
09-08-2019, 15:51 door Anoniem
"Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt."

uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.

dus zie niet in hoe je met deze tactiek jezelf zou verbergen.
09-08-2019, 17:57 door Briolet
Door Anoniem: uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.

Jij gaat er van uit dat alle accounts op één server draaien. Maar het kan best zo zijn dat ze een lijst van 10000 servers aflopen en dan slechts eens in de zoveel tijd bij jouw server komen. Meestal reset het aantal pogingen na een bepaalde tijd en proberen ze zo onder de radar te blijven. Ik heb het op mijn mailserver ook wel gezien dat er maar 1 poging per uur kwam en daardoor onder mijn ingestelde blokkeringsdrempel bleef. Maar bij 1 poging per uur gaat hel niet snel lukken bij een redelijk wachtwoord.

Een paar week geleden is er nog een complexere aanval gestart op nas systemen van diverse merken. Daar werd een botnet ingezet en kwam de inlogpoging elke keer van een ander IP adres.
10-08-2019, 10:52 door Anoniem
Door Anoniem:
uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.

En wat nou als ie het via een botnet doet dus allemaal verschillende IP adressen?
Het enige wat je dan nog kunt detecteren is een opvallend hoog aantal mislukte inlogpogingen.
En wat dan? Je hele service plat leggen, maar dat is ook zo wat. En geeft de aanvaller misschien het
idee om het als chantage middel te gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.