Existem muitos métodos de ataque a senhas, o mais conhecido de todos é o ataque por força bruta, onde o atacante escolhe um alvo e então por tentativa e erro experimenta várias senhas. Do ponto de vista de proteção temos muitos mecanismos que podemos usar para nos proteger um ataque por força bruta.

Por exemplo a definição de uma política de senha onde após uma determinada quantidade de falhas na tentativa de logon a conta seja bloqueada e somente pode ser desbloqueada depois de um tempo estabelecido ou somente através da intervenção do administrador, onde irá manualmente habilitar a conta do usuário bloqueado depois de uma breve investigação do ocorrido.

Todos os eventos também podem ser auditados o que ajuda a identificar se está acontecendo em mais de um lugar ao mesmo tempo o que pode indicar também uma tentativa de invasão.

No exemplo acima eu posso notar que aconteceram tentativas de logon invalidas e a conta foi bloqueada. Nesse caso é fácil eu configurar o sistema para receber uma notificação em caso de bloqueio de contas.

Já o Password Spray é um modo de ataque muito bem elaborado onde o atacante visa testar uma determinada senha em várias contas existentes na rede. Assim não acorre o bloqueio de conta e o atacante pode explorar as senhas mais comuns contra o maior número possível de usuários conhecidos.

Imagine uma empresa com mais de 10.000 usuários onde o atacante pode testar contra cada um deles se eles estão usando determinada senha, e essas senhas escolhidas pelos hackers não são difíceis de encontrar no dia a dia.  Segundo uma análise do Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, 23,2 milhões dos hackers em todo o mundo tentaram a senha “123456”.

https://www.ncsc.gov.uk/static-assets/documents/PwnedPasswordTop100k.txt

É por isso que esta técnica é tão poderosa e perigosa.

Como detectar esse tipo de ataque?

Existem maneiras de detectar a Password Spray, embora nativamente e apenas com auditoria isso possa ser difícil, pois não é um ataque de força bruta e nem a mesma conta está sendo atacada, são várias. Você pode tentar monitorar todas as tentativas de login e o volume, mas quem pode dizer se é um real ataque ou apenas um pico nas tentativas de login?

Para ajudar com a detecção e reduzir o ruído, desenvolvemos uma regra de Password Spray dedicada no InTrust.

O InTrust analisa 4625 e 4771 conforme recomendação do MITRE (https://attack.mitre.org/techniques/T1110/) mas também fazemos análises adicionais para reduzir o ruído.

A regra funciona quando vemos vários logins de conta (5 por padrão) do mesmo computador para muitos usuários diferentes e válidos, registrados em 1 minuto. O InTrust também é capaz de extrair as contas de usuários específicas e exibi-las no texto de alerta.

Conheça mais sobre o Intrust em https://www.quest.com/br-pt/products/intrust/ 

A visualização dos eventos de logon de conta descritos no inicio desse artigo foram feitos com o Change Auditor https://www.quest.com/br-pt/change-auditor/ 

Anonymous
Related Content