對于網(wǎng)絡(luò)犯罪分子而言，自動(dòng)使用泄露的用戶名和密碼來訪問賬戶無疑是一種低風(fēng)險(xiǎn)、高回報(bào)的攻擊方式。本文將為大家介紹一些預(yù)防、檢測和防御此類攻擊的方法。

　　什么是憑證填充（Credential stuffing）？

　　憑證填充是一種網(wǎng)絡(luò)攻擊，也是我們習(xí)慣稱的“撞庫”，利用從一項(xiàng)服務(wù)上的數(shù)據(jù)泄露中獲得的登錄憑據(jù)嘗試登錄到另一個(gè)不相關(guān)的服務(wù)。

　　例如，攻擊者可能通過攻破一個(gè)大型百貨商店而獲取大量用戶名和對應(yīng)密碼，并使用相同的登錄憑據(jù)嘗試登錄到某個(gè)國際銀行的網(wǎng)站。攻擊者猜測這些百貨商店客戶中的某些人在該銀行也有帳戶，并且他們使用了和百貨商店同樣的用戶名和密碼。

　　很多人可能習(xí)慣將其與“蠻力攻擊”相提并論，但它們之間存在明顯區(qū)別。

　　OWASP 將憑證填充歸類為蠻力攻擊的子集。但嚴(yán)格來講，憑證填充與傳統(tǒng)的暴力攻擊有很大不同。暴力攻擊嘗試在情境背景或線索的情況下猜測密碼，有時(shí)按照常規(guī)密碼設(shè)置建議隨機(jī)套用字符。憑證填充利用的是泄露數(shù)據(jù)，可能正確的答案在數(shù)量上得到了精簡。

　　防止暴力攻擊的有效方法是使用由多個(gè)字符組成的強(qiáng)密碼，包括大寫字母、數(shù)字和特殊字符。但是密碼強(qiáng)度不能防止憑證填充。密碼的強(qiáng)弱無關(guān)緊要–如果密碼在不同的帳戶之間共享，那它依然會(huì)受損于憑證填充。

　　數(shù)據(jù)說話：憑證填充攻擊現(xiàn)狀

　　HaveIBeenPwned.com（HIBP）——由安全研究員Troy Hunt運(yùn)營的免費(fèi)數(shù)據(jù)泄露通知服務(wù)——跟蹤了來自410起數(shù)據(jù)泄露事件的超過85 億份泄露憑證。這還只是來自公開數(shù)據(jù)集或在地下論壇上廣泛分發(fā)的數(shù)據(jù)集中的憑據(jù)，還有許多數(shù)據(jù)轉(zhuǎn)儲(chǔ)仍然是私有的，僅供一小部分黑客使用，所以，泄露憑證的規(guī)?？上攵?/p>

　　鑒于地下黑市正在銷售支持自動(dòng)憑證填充攻擊的被盜憑證和專用工具，這就意味著發(fā)動(dòng)此類攻擊不需要任何特殊技能或知識(shí)，任何能拿出幾百美元購買工具和數(shù)據(jù)的人都可以實(shí)施憑證填充攻擊。

　　2020年，安全和內(nèi)容交付公司Akamai在其發(fā)布的《互聯(lián)網(wǎng)現(xiàn)狀報(bào)告》中指出，僅失敗的憑證攻擊嘗試就高達(dá)1930億次，相比2019年的470億次，使用憑證的登錄攻擊嘗試數(shù)量猛增了310%+。而且，有些行業(yè)比其他行業(yè)更容易成為攻擊目標(biāo)——例如，僅金融服務(wù)行業(yè)就經(jīng)歷了 34.5 億次憑證填充攻擊。

　　Akamai于2021年5月發(fā)布的最新報(bào)告指出，憑證填充攻擊數(shù)量出現(xiàn)了幾次高峰，其中包括2020年末的一天，發(fā)生了超過10億次攻擊。研究人員認(rèn)為，這些攻擊應(yīng)該與犯罪經(jīng)濟(jì)中發(fā)生的事件存在關(guān)聯(lián)。

　　報(bào)告稱，2020年末出現(xiàn)的憑證填充攻擊高峰與2020年第一季度和第二季度的幾起重大數(shù)據(jù)泄露事件有關(guān)，一開始在幾個(gè)地下論壇的犯罪分子中流傳。一旦這些被泄露的憑證開始傳播開，惡意行為者就會(huì)用其針對各種目標(biāo)進(jìn)行攻擊測試，其中影響最深的就是金融機(jī)構(gòu)。

　　憑證填充攻擊“加速器”

　　統(tǒng)計(jì)學(xué)上講，憑證填充攻擊的成功率非常低，但憑證數(shù)據(jù)集合的交易體量之大讓攻擊者覺得即便成功率低也依然值得嘗試。

　　這些集合內(nèi)含成千上萬甚至數(shù)以億計(jì)的登錄憑證。以0.1%的成功率來算，如果攻擊者持有一百萬組憑證，則能夠獲取約 1,000 個(gè)成功破解的帳戶。即使只有一小部分破解帳戶帶來可盈利的數(shù)據(jù)（通常形式是信用卡卡號或是釣魚攻擊中所使用的敏感數(shù)據(jù)），也值得發(fā)動(dòng)這種攻擊。

　　而且，得益于人們習(xí)慣重復(fù)使用密碼，憑證填充攻擊成功率也有了一定增長。數(shù)據(jù)指出，高達(dá)約85％的用戶將相同的登錄憑據(jù)重復(fù)用于多種服務(wù)。只要這種做法繼續(xù)下去，憑證填充將繼續(xù)保持有效。

　　此外，地下市場中出售的可用于發(fā)送憑證填充攻擊的被盜憑證和工具，也進(jìn)一步加劇了此類攻擊，因?yàn)榧幢闶菦]有任何技能和專業(yè)知識(shí)儲(chǔ)備的人，也能通過幾百美元購買到合適的工具和數(shù)據(jù)，成功發(fā)動(dòng)攻擊。

　　機(jī)器人技術(shù)的進(jìn)步也使得憑證填充成為一種可行性攻擊。Web 應(yīng)用程序登錄表單內(nèi)置的安全功能往往包括蓄意時(shí)延機(jī)制，并且在用戶多次嘗試登錄失敗時(shí)會(huì)將其IP地址禁用。現(xiàn)代憑證填充軟件會(huì)利用機(jī)器人同時(shí)嘗試多方登錄，而表面看起來登錄是在各種設(shè)備類型上進(jìn)行，且來自多個(gè)IP地址，借此繞開這些保護(hù)機(jī)制。惡意機(jī)器人的目的在于讓攻擊者的登錄嘗試有別于典型的登錄流量，且這種方法十分奏效。

　　通常，唯一能讓受害公司察覺到遭受攻擊的跡象是登錄嘗試總體數(shù)量的增加。即使這樣，受害的公司也很難在不影響合法用戶登錄服務(wù)的情況下阻止這些惡意嘗試。

　　憑證填充帶來的合規(guī)風(fēng)險(xiǎn)

　　自歐盟《通用數(shù)據(jù)保護(hù)法案》GDPR生效以來，世界各國監(jiān)管機(jī)構(gòu)對于數(shù)據(jù)保護(hù)都表現(xiàn)的極為重視，甚至出現(xiàn)了多起巨額罰款事件。

　　GDPR提出，個(gè)人數(shù)據(jù)泄露是指“由于違反安全政策而導(dǎo)致傳輸、儲(chǔ)存、處理中的個(gè)人數(shù)據(jù)被意外或非法損毀、丟失、更改或未經(jīng)同意而被公開或訪問。”所以，即使是使用已泄露數(shù)據(jù)進(jìn)行憑證填充攻擊，但是企業(yè)自身的安全防護(hù)工作沒有能夠避免被未經(jīng)授權(quán)的訪問，也屬于違規(guī)的一種。

　　同時(shí)，美國《健康保險(xiǎn)攜帶和責(zé)任法案》（HIPAA）也規(guī)定“以HIPAA隱私規(guī)則所不允許的方式獲取、訪問、使用或披露個(gè)人醫(yī)療信息，等于損害安全性或隱私。”即使被非法訪問的數(shù)據(jù)是被加密的，但是系統(tǒng)和數(shù)據(jù)受到了未經(jīng)授權(quán)的攻擊，也屬于HIPAA隱私權(quán)規(guī)則所不允許的披露。

　　2018年，信用評級公司穆迪（Moody's）將“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”納入現(xiàn)有信用評級標(biāo)準(zhǔn)，受評者承受網(wǎng)絡(luò)攻擊的能力將被量化，融入最終的評級結(jié)果中。信用評級廣泛影響到投資者在選擇投資對象時(shí)所考慮的風(fēng)險(xiǎn)評估以及投資決定。對上市企業(yè)來說，重新考慮其網(wǎng)絡(luò)安全和合規(guī)性方法，尤其是隨著法規(guī)變得越來越難以遵守。不僅如此，針對特定的行業(yè)，也將面對更多不同的處罰規(guī)定。

　　如何檢測憑證填充？

　　憑證填充攻擊是通過僵尸網(wǎng)絡(luò)和自動(dòng)化工具發(fā)起的，這些工具支持使用代理將惡意請求分發(fā)到不同的 IP 地址。此外，攻擊者經(jīng)常配置他們的工具來模仿合法的用戶代理。

　　所有這些使得防御者很難區(qū)分憑證填充攻擊和合法登錄嘗試，尤其是在高流量網(wǎng)站上，突然涌入的登錄請求并不罕見。也就是說，短時(shí)間內(nèi)登錄失敗率的增加可能是憑證填充攻擊正在進(jìn)行的明顯跡象。

　　與此同時(shí)，一些商業(yè)Web應(yīng)用程序防火墻和服務(wù)使用更先進(jìn)的行為技術(shù)來檢測可疑的登錄嘗試，網(wǎng)站所有者可以采取措施防止此類攻擊。

　　如何防止和緩解憑證填充？

　　一種有效的緩解措施是實(shí)施和鼓勵(lì)使用多因素身份驗(yàn)證（MFA）。盡管一些自動(dòng)網(wǎng)絡(luò)釣魚和帳戶接管工具可以繞過 MFA，但這些攻擊需要更多資源，而且比憑證填充更難集體實(shí)施。

　　由于多因素身份驗(yàn)證在一定程度上會(huì)影響用戶體驗(yàn)，所以許多組織只是建議用戶啟用而不強(qiáng)制執(zhí)行。如果覺得對所有用戶賬號強(qiáng)制執(zhí)行多因素身份驗(yàn)證太過影響業(yè)務(wù)，折衷方案是為確定面臨更大風(fēng)險(xiǎn)的用戶自動(dòng)啟用它，例如，在他們的賬戶遭遇大量異常的登錄嘗試失敗后。

　　很多大型企業(yè)已經(jīng)開始主動(dòng)監(jiān)控公共數(shù)據(jù)轉(zhuǎn)儲(chǔ)，并檢查受影響的電子郵件地址是否也存在于他們的系統(tǒng)中。對于在他們的服務(wù)中找到的此類帳戶，即便其是在其他地方遭到的入侵，他們也會(huì)強(qiáng)制重置密碼并強(qiáng)烈建議啟用多因素身份驗(yàn)證。

　　想要監(jiān)控員工使用工作電子郵件設(shè)置的帳戶是否受到外部漏洞影響的公司，可以使用 HIBP 等服務(wù)為其整個(gè)域名設(shè)置警報(bào)。HIBP的公共API甚至被用于開發(fā)各種編程語言的腳本，這些腳本可以集成到網(wǎng)站或移動(dòng)應(yīng)用程序中。

　　最后，密碼衛(wèi)生應(yīng)該成為任何公司員工安全意識(shí)培訓(xùn)的一部分。密碼重用是導(dǎo)致憑證填充攻擊的重要原因，因此無論是在工作中還是在家里，都應(yīng)強(qiáng)烈反對這種做法。

　　用戶可以使用密碼管理器為每個(gè)在線帳戶生成唯一且復(fù)雜的密碼。如果在公共數(shù)據(jù)轉(zhuǎn)儲(chǔ)中檢測到用戶的電子郵件地址，其中一些應(yīng)用程序甚至?xí)詣?dòng)通知用戶。

　　總結(jié)

　　憑證填充會(huì)始終存在。由于無法完全消除這種行為，因此企業(yè)組織和用戶能做的就是增加憑證填充攻擊的困難性。弱密碼和密碼重用是賬戶安全的禍根；無論我們談?wù)摰氖怯螒?、零售、媒體和娛樂或是其他任何行業(yè)，這一點(diǎn)都至關(guān)重要。如果密碼太弱或在多個(gè)賬戶中重復(fù)使用相同的密碼，它終有一天會(huì)被泄露。人們需要提高對這些事實(shí)的認(rèn)識(shí)，推廣密碼管理器和多因素身份驗(yàn)證亦是如此。