Australische overheid ziet toename van password spraying
De Australische overheid heeft bedrijven en organisaties in het land gewaarschuwd voor password spraying, aangezien het een toename van deze aanval ziet om toegang tot webmail, Active Directory Federated Services (ADFS) of cloudgebaseerde diensten zoals Office 365 te krijgen.
Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt.
Volgens het Australische Cyber Security Centre (ACSC) vindt er een groot aantal password spraying-aanvallen tegen Australische organisaties plaats. Om detectie van dergelijke aanvallen te vergroten kunnen organisaties bepaalde regels in hun Security Information and Event Management (SIEM) oplossing of soortgelijk product aanmaken. Er moet dan worden gekeken naar een groot inlogpogingen gedurende een bepaalde tijd, een groot aantal verkeerde gebruikersnamen waarmee is geprobeerd in te loggen, een groot aantal geblokkeerde accounts en het aantal mislukte inlogpogingen per ip-adres.
Om de aanvallen te voorkomen adviseert het ACSC om multifactorauthenticatie te implementeren op alle systemen met externe toegang, het gebruik van complexe wachtwoorden via een policy te verplichten, wachtwoorden van getroffen accounts te resetten, geo blocking, ip-whitelisting of vpn's in te voeren en monitoring uit te breiden.
Password bruteforce: 1 website, 1 account, meerdere wachtwoorden
Password spraying: 1 website, meerdere accounts, 1 wachtwoord
Credential stuffing: meerdere websites, meerdere accounts, gekraakte/gelekte wachtwoorden
Zolang je een uniek wachtwoord gebruikt (of zoals het hoort gebruik maakt van WebAuthn) heb je niets te vrezen.
Ik stond al op het punt om naar de winkel te gaan voor een buske password spray.
uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.
dus zie niet in hoe je met deze tactiek jezelf zou verbergen.
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.
Jij gaat er van uit dat alle accounts op één server draaien. Maar het kan best zo zijn dat ze een lijst van 10000 servers aflopen en dan slechts eens in de zoveel tijd bij jouw server komen. Meestal reset het aantal pogingen na een bepaalde tijd en proberen ze zo onder de radar te blijven. Ik heb het op mijn mailserver ook wel gezien dat er maar 1 poging per uur kwam en daardoor onder mijn ingestelde blokkeringsdrempel bleef. Maar bij 1 poging per uur gaat hel niet snel lukken bij een redelijk wachtwoord.
Een paar week geleden is er nog een complexere aanval gestart op nas systemen van diverse merken. Daar werd een botnet ingezet en kwam de inlogpoging elke keer van een ander IP adres.
uhm... bv fail2ban kijkt gewoon naar het aantal mislukte inlogpogingen gebaseerd op ip adres...
dus 5 keer fout en block.. ongeacht met welke usernaam je het aan het proberen bent.
En wat nou als ie het via een botnet doet dus allemaal verschillende IP adressen?
Het enige wat je dan nog kunt detecteren is een opvallend hoog aantal mislukte inlogpogingen.
En wat dan? Je hele service plat leggen, maar dat is ook zo wat. En geeft de aanvaller misschien het
idee om het als chantage middel te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
