Brute Force
ブルートフォース(総当たり攻撃)

攻撃者は、パスワードが不明な場合やパスワードハッシュを取得した場合に、ブルートフォース(総当たり攻撃)を使ってアカウントへのアクセスを試みることがあります。

Credential Dumping(資格情報ダンピング)は、パスワードハッシュを取得するために使用されます。これは、これまでのところ、Pass the Hashが選択肢にないときに、攻撃者が使う可能性があります。ハッシュの計算に使用されるパスワードを体系的に推測するテクニックが利用でき、攻撃者は事前に計算されたレインボーテーブルを使用してハッシュをクラックする場合があります。ハッシュのクラッキングは通常、ターゲットネットワーク外の攻撃者配下のシステムで行われます。 [1]

攻撃者は、ゼロ知識を使用するか、既知のまたは考えられるパスワードのリストを試行することにより、パスワードまたはハッシュを知らない攻撃中にブルートフォースログインを試みる可能性があります。組織のログイン失敗ポリシーによっては、認証の失敗やアカウントのロックアウトを何度も引き起こす可能性があるため、これはリスクの高い選択肢です。[2]

パスワードスプレーと呼ばれる関連手法では、ドメインの複雑度ポリシーに一致し、一般的に使用されるパスワードである可能性のある1つのパスワード(「Password01」など)、またはパスワードの小さなリストを使用します。多くのパスワードを使用して一つのアカウントを総当たりするときに通常発生するアカウントロックアウトを回避するために、そのパスワードとネットワーク上の多くの異なるアカウントを使用してログインが試行されます。[3]

通常、よく使用されるポートを介した管理サービスは、パスワードスプレーに使用されます。一般的に対象となるサービスは次のとおりです。

  • SSH (22/tCP)
  • Telnet (23/tCP)
  • FTP (21/tCP)
  • NetBIOS / SMB / Samba (139/tCP & 445/tCP)
  • LDAP (389/tCP)
  • Kerberos (88/tCP)
  • RDP / Terminal Services (3389/tCP)
  • HTTP/HTTP Management Services (80/tCP & 443/tCP)
  • MSSQL (1433/tCP)
  • Oracle (1521/tCP)
  • MySQL (3306/tCP)
  • VNC (5900/tCP)

攻撃者は、管理サービスに加えて、"連携認証プロトコルを利用するシングルサインオン(SSO)とクラウドベースのアプリケーション、およびOffice 365のような外部向けの電子メールアプリケーションを対象"とする可能性があります。[4]

デフォルトの環境では、LDAPおよびKerberos接続の試行がSMBを介してイベントをトリガーする可能性は低く、Windowsの「ログオン失敗」イベントID 4625が作成されます。

ID: T1110
Tactic: Credential Access
Platform: Linux, macOS, Windows, Office 365, Azure AD, SaaS
Permissions Required: User
Data Sources: Office 365 account logs, Authentication logs
CAPEC ID: CAPEC-49
Contributors: Microsoft Threat Intelligence Center (MSTIC); John Strand; Ed Williams, Trustwave, SpiderLabs
Version: 2.0
Created: 31 May 2017
Last Modified: 09 October 2019

Procedure Examples

Name Description
APT3

APT3 は、平文の資格情報を利用できるようにパスワードハッシュをブルートフォースすることが知られています。[27]

APT33

APT33 has used password spraying to gain access to target systems.[28]

APT41

APT41 performed password brute-force attacks on the local admin account.[29]

Chaos

Chaos conducts brute force attacks against SSH services to gain initial access.[8]

China Chopper

China Chopper's server component can perform brute force password guessing against authentication portals.[18]

Dragonfly 2.0

Dragonfly 2.0 dropped and executed tools used for password cracking, including Hydra.[22][23][24]

Emotet

Emotet has been observed using a hard coded list of passwords to brute force user accounts. [12][13][14][15][16]

Lazarus Group

Lazarus Group が使用するマルウェアは、生成されたユーザー名のリストを使用して、横方向の移動のためにWindows共有に接続しようとします。これは、ユーザー名Administratorの弱いパスワードの掛け合わせを中心にしています。[25][26]

Leafminer

Leafminer used a tool called BruteForcer to perform a brute force attack.[20]

Linux Rabbit

Linux Rabbit brute forces SSH passwords in order to attempt to gain access and install its malware onto the server.[11]

MailSniper

MailSniper can be used for password spraying against Exchange and Office 365.[7]

Net Crawler

Net Crawler uses a list of known credentials gathered through credential dumping to guess passwords to accounts as it spreads throughout a network.[2]

OilRig

OilRig has used brute force techniques to obtain credentials.[21]

PoshC2

PoshC2 has modules for brute forcing local administrator and AD user accounts.[6]

SpeakUp

SpeakUp can perform brute forcing using a pre-defined list of usernames and passwords in an attempt to log in to administrative panels.[17]

Turla

Turla may attempt to connect to systems within a victim's network using net use commands and a predefined list or collection of passwords.[19]

Xbash

Xbash can obtain a list of weak passwords from the C2 server to use for brute forcing as well as attempt to brute force services with open ports.[9][10]

Mitigations

Mitigation Description
Account Use Policies
アカウント利用ポリシー

パスワードの推測を防ぐために、ログインが一定回数失敗した後にアカウントロックアウトポリシーを設定します。ポリシーが厳しすぎると、サービス拒否の状態が発生し、環境が使用できなくなり、ブルートフォースで使用されるすべてのアカウントがロックアウトされる可能性があります。

Multi-factor Authentication
多要素認証

多要素認証を使用します。可能であれば、外部向けサービスでも多要素認証を有効にします。

Password Policies
パスワードポリシー

パスワードポリシーを作成する際には、NISTのガイドラインを参照してください。[5]

Detection

ハッシュがクラックされた場合、これは一般的に攻撃ネットワークの範囲外で行われるため、検出が困難です。

システムおよびアプリケーションの正当なアカウントがログインを失敗している認証ログを監視します。認証の失敗が多い場合は、正当な資格情報を使用してシステムにアクセスしようとするブルートフォース攻撃が行われている可能性があります。

また、パスワードスプレーの試行が原因で発生する可能性のある、さまざまなアカウントで失敗した認証試行を監視します。

パスワードスプレーについては、以下をよく見ておいてください。[30]:

  • ドメインコントローラー: "ログオンの監査" (成功 & 失敗) event ID 4625.
  • ドメインコントローラー:"Kerberos 認証サービスの監査" (成功 & 失敗) event ID 4771.
  • 全てのシステム: "ログオンの監査" (成功 & 失敗) event ID 4648.

References

  1. Wikipedia. (n.d.). Password cracking. Retrieved December 23, 2015.
  2. Cylance. (2014, December). Operation Cleaver. Retrieved September 14, 2017.
  3. Thyer, J. (2015, October 30). Password Spraying & Other Fun with RPCCLIENT. Retrieved April 25, 2017.
  4. US-CERT. (2018, March 27). TA18-068A Brute Force Attacks Conducted by Cyber Actors. Retrieved October 2, 2019.
  5. Grassi, P., et al. (2017, December 1). SP 800-63-3, Digital Identity Guidelines. Retrieved January 16, 2019.
  6. Nettitude. (2018, July 23). Python Server for PoshC2. Retrieved April 23, 2019.
  7. Bullock, B., . (2018, November 20). MailSniper. Retrieved October 4, 2019.
  8. Sebastian Feldmann. (2018, February 14). Chaos: a Stolen Backdoor Rising Again. Retrieved March 5, 2018.
  9. Xiao, C. (2018, September 17). Xbash Combines Botnet, Ransomware, Coinmining in Worm that Targets Linux and Windows. Retrieved November 14, 2018.
  10. Trend Micro. (2018, September 19). New Multi-Platform Xbash Packs Obfuscation, Ransomware, Coinminer, Worm and Botnet. Retrieved June 4, 2019.
  11. Anomali Labs. (2018, December 6). Pulling Linux Rabbit/Rabbot Malware Out of a Hat. Retrieved March 4, 2019.
  12. Smith, A.. (2017, December 22). Protect your network from Emotet Trojan with Malwarebytes Endpoint Security. Retrieved January 17, 2019.
  13. Symantec. (2018, July 18). The Evolution of Emotet: From Banking Trojan to Threat Distributor. Retrieved March 25, 2019.
  14. US-CERT. (2018, July 20). Alert (TA18-201A) Emotet Malware. Retrieved March 25, 2019.
  15. Mclellan, M.. (2018, November 19). Lazy Passwords Become Rocket Fuel for Emotet SMB Spreader. Retrieved March 25, 2019.
  1. CIS. (2018, December 12). MS-ISAC Security Primer- Emotet. Retrieved March 25, 2019.
  2. Check Point Research. (2019, February 4). SpeakUp: A New Undetected Backdoor Linux Trojan. Retrieved April 17, 2019.
  3. FireEye. (2018, March 16). Suspected Chinese Cyber Espionage Group (TEMP.Periscope) Targeting U.S. Engineering and Maritime Industries. Retrieved April 11, 2018.
  4. Kaspersky Lab's Global Research and Analysis Team. (2014, August 7). The Epic Turla Operation: Solving some of the mysteries of Snake/Uroburos. Retrieved December 11, 2014.
  5. Symantec Security Response. (2018, July 25). Leafminer: New Espionage Campaigns Targeting Middle Eastern Regions. Retrieved August 28, 2018.
  6. Davis, S. and Caban, D. (2017, December 19). APT34 - New Targeted Attack in the Middle East. Retrieved December 20, 2017.
  7. US-CERT. (2018, March 16). Alert (TA18-074A): Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved June 6, 2018.
  8. US-CERT. (2017, October 20). Alert (TA17-293A): Advanced Persistent Threat Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved November 2, 2017.
  9. Kali. (2014, February 18). THC-Hydra. Retrieved November 2, 2017.
  10. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Unraveling the Long Thread of the Sony Attack. Retrieved February 25, 2016.
  11. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Remote Administration Tools & Content Staging Malware Report. Retrieved March 16, 2016.
  12. Korban, C, et al. (2017, September). APT3 Adversary Emulation Plan. Retrieved January 16, 2018.
  13. Ackerman, G., et al. (2018, December 21). OVERRULED: Containing a Potentially Destructive Adversary. Retrieved January 17, 2019.
  14. Fraser, N., et al. (2019, August 7). Double DragonAPT41, a dual espionage and cyber crime operation APT41. Retrieved September 23, 2019.
  15. Metcalf, S. (2018, May 6). Trimarc Research: Detecting Password Spraying with Security Event Auditing. Retrieved January 16, 2019.