攻撃者は、パスワードが不明な場合やパスワードハッシュを取得した場合に、ブルートフォース(総当たり攻撃)を使ってアカウントへのアクセスを試みることがあります。
Credential Dumping(資格情報ダンピング)は、パスワードハッシュを取得するために使用されます。これは、これまでのところ、Pass the Hashが選択肢にないときに、攻撃者が使う可能性があります。ハッシュの計算に使用されるパスワードを体系的に推測するテクニックが利用でき、攻撃者は事前に計算されたレインボーテーブルを使用してハッシュをクラックする場合があります。ハッシュのクラッキングは通常、ターゲットネットワーク外の攻撃者配下のシステムで行われます。 [1]
攻撃者は、ゼロ知識を使用するか、既知のまたは考えられるパスワードのリストを試行することにより、パスワードまたはハッシュを知らない攻撃中にブルートフォースログインを試みる可能性があります。組織のログイン失敗ポリシーによっては、認証の失敗やアカウントのロックアウトを何度も引き起こす可能性があるため、これはリスクの高い選択肢です。[2]
パスワードスプレーと呼ばれる関連手法では、ドメインの複雑度ポリシーに一致し、一般的に使用されるパスワードである可能性のある1つのパスワード(「Password01」など)、またはパスワードの小さなリストを使用します。多くのパスワードを使用して一つのアカウントを総当たりするときに通常発生するアカウントロックアウトを回避するために、そのパスワードとネットワーク上の多くの異なるアカウントを使用してログインが試行されます。[3]
通常、よく使用されるポートを介した管理サービスは、パスワードスプレーに使用されます。一般的に対象となるサービスは次のとおりです。
攻撃者は、管理サービスに加えて、"連携認証プロトコルを利用するシングルサインオン(SSO)とクラウドベースのアプリケーション、およびOffice 365のような外部向けの電子メールアプリケーションを対象"とする可能性があります。[4]
デフォルトの環境では、LDAPおよびKerberos接続の試行がSMBを介してイベントをトリガーする可能性は低く、Windowsの「ログオン失敗」イベントID 4625が作成されます。
Name | Description |
---|---|
APT3 | |
APT33 |
APT33 has used password spraying to gain access to target systems.[28] |
APT41 |
APT41 performed password brute-force attacks on the local admin account.[29] |
Chaos |
Chaos conducts brute force attacks against SSH services to gain initial access.[8] |
China Chopper |
China Chopper's server component can perform brute force password guessing against authentication portals.[18] |
Dragonfly 2.0 |
Dragonfly 2.0 dropped and executed tools used for password cracking, including Hydra.[22][23][24] |
Emotet |
Emotet has been observed using a hard coded list of passwords to brute force user accounts. [12][13][14][15][16] |
Lazarus Group |
Lazarus Group が使用するマルウェアは、生成されたユーザー名のリストを使用して、横方向の移動のためにWindows共有に接続しようとします。これは、ユーザー名Administratorの弱いパスワードの掛け合わせを中心にしています。[25][26] |
Leafminer |
Leafminer used a tool called BruteForcer to perform a brute force attack.[20] |
Linux Rabbit |
Linux Rabbit brute forces SSH passwords in order to attempt to gain access and install its malware onto the server.[11] |
MailSniper |
MailSniper can be used for password spraying against Exchange and Office 365.[7] |
Net Crawler |
Net Crawler uses a list of known credentials gathered through credential dumping to guess passwords to accounts as it spreads throughout a network.[2] |
OilRig |
OilRig has used brute force techniques to obtain credentials.[21] |
PoshC2 |
PoshC2 has modules for brute forcing local administrator and AD user accounts.[6] |
SpeakUp |
SpeakUp can perform brute forcing using a pre-defined list of usernames and passwords in an attempt to log in to administrative panels.[17] |
Turla |
Turla may attempt to connect to systems within a victim's network using |
Xbash |
Xbash can obtain a list of weak passwords from the C2 server to use for brute forcing as well as attempt to brute force services with open ports.[9][10] |
Mitigation | Description |
---|---|
Account Use Policies アカウント利用ポリシー |
パスワードの推測を防ぐために、ログインが一定回数失敗した後にアカウントロックアウトポリシーを設定します。ポリシーが厳しすぎると、サービス拒否の状態が発生し、環境が使用できなくなり、ブルートフォースで使用されるすべてのアカウントがロックアウトされる可能性があります。 |
Multi-factor Authentication 多要素認証 |
多要素認証を使用します。可能であれば、外部向けサービスでも多要素認証を有効にします。 |
Password Policies パスワードポリシー |
パスワードポリシーを作成する際には、NISTのガイドラインを参照してください。[5] |
ハッシュがクラックされた場合、これは一般的に攻撃ネットワークの範囲外で行われるため、検出が困難です。
システムおよびアプリケーションの正当なアカウントがログインを失敗している認証ログを監視します。認証の失敗が多い場合は、正当な資格情報を使用してシステムにアクセスしようとするブルートフォース攻撃が行われている可能性があります。
また、パスワードスプレーの試行が原因で発生する可能性のある、さまざまなアカウントで失敗した認証試行を監視します。
パスワードスプレーについては、以下をよく見ておいてください。[30]: