信息化觀察網(wǎng)

根據(jù)Akamai的報(bào)告顯示，從2018年1月到2019年12月，總共發(fā)生了880億個(gè)憑證填充攻擊事件。與憑證填充相關(guān)的網(wǎng)絡(luò)攻擊正呈現(xiàn)穩(wěn)步上升的趨勢(shì)，并沒(méi)有放緩的跡象。

憑證填充是一種蠻力攻擊，攻擊者通過(guò)僵尸網(wǎng)絡(luò)和盜取的賬戶憑證來(lái)訪問(wèn)網(wǎng)站或在線服務(wù)，可以不受限制地訪問(wèn)受害者的銀行帳戶及敏感信息，還可以通過(guò)在地下論壇上出售這些私密信息而獲利。

為了獲取用戶憑據(jù)，網(wǎng)絡(luò)犯罪分子常濫用合法軟件用來(lái)豐富其攻擊工具和技術(shù)。

在本文中，我們將介紹網(wǎng)絡(luò)犯罪分子如何利用合法的網(wǎng)絡(luò)測(cè)試軟件OpenBullet強(qiáng)行進(jìn)入目標(biāo)賬戶。由于OpenBullet的普及，一個(gè)完整的交易配置腳本鏈?zhǔn)袌?chǎng)已經(jīng)在地下論壇形成。文章末尾還就多密碼儲(chǔ)存問(wèn)題提出了建議，并就防止帳戶接管的憑證填充攻擊提供了指導(dǎo)。

OpenBullet

OpenBullet是一款免費(fèi)的網(wǎng)絡(luò)測(cè)試軟件，這個(gè)開(kāi)源工具可以在GitHub上找到，它可以讓開(kāi)發(fā)者在目標(biāo)網(wǎng)頁(yè)上執(zhí)行特定的請(qǐng)求，用于不同的任務(wù)，包括抓取和解析數(shù)據(jù)，執(zhí)行自動(dòng)滲透測(cè)試，以及使用Selenium進(jìn)行單元測(cè)試。

該軟件使用戶能夠出于合法目的（例如滲透測(cè)試），在不同的網(wǎng)站上嘗試多種賬號(hào)密碼的登錄組合，但這種特性也可以被網(wǎng)絡(luò)犯罪分子用來(lái)挖掘出用戶的有效憑證。

OpenBullet允許用戶導(dǎo)入預(yù)構(gòu)建的配置文件，對(duì)不同的測(cè)試網(wǎng)站可采取不同的配置文件。它還有一個(gè)靈活的編輯器，可以根據(jù)需要修改配置。這是一項(xiàng)強(qiáng)制性功能，因?yàn)榫W(wǎng)站為了應(yīng)對(duì)諸如OpenBullet之類(lèi)的自動(dòng)化工具，會(huì)對(duì)用戶連接到它們的方式進(jìn)行細(xì)微調(diào)整。

值得注意的是，OpenBullet的GitHub頁(yè)面上有一個(gè)警告，告知用戶該工具不應(yīng)用于不正當(dāng)?shù)膽{證填充行為。

圖1.OpenBullet GitHub頁(yè)面的免責(zé)聲明

可被濫用的OpenBullet功能

Wordlists

此選項(xiàng)卡允許用戶導(dǎo)入連接到目標(biāo)網(wǎng)站時(shí)使用的成千上萬(wàn)個(gè)詞組，例如“電子郵件地址：密碼”或“登錄名：密碼”。

OpenBullet工具不提供單詞列表，用戶需自己提供，但OpenBullet具有單詞列表生成器功能。

例如我們可以以下列格式在OpenBullet上生成詞表：

·用戶的電子郵件地址，由三位數(shù)組成，后跟“ example.com”

·用戶密碼，以“abc”開(kāi)頭，后跟兩位數(shù)字

圖2.OpenBullet的單詞列表生成器和在記事本文件中生成的單詞列表

Runner

用戶可以通過(guò)此選項(xiàng)卡發(fā)起憑據(jù)攻擊。Runner選項(xiàng)卡顯示正在測(cè)試的每個(gè)網(wǎng)站的進(jìn)度和成功命中的次數(shù)。用戶還可以同時(shí)啟動(dòng)多個(gè)Runner。

圖3.在OpenBullet上運(yùn)行的Runner選項(xiàng)卡的屏幕截圖

proxies

一些安全性良好的網(wǎng)站可能會(huì)阻止?jié)B透測(cè)試人員或網(wǎng)絡(luò)犯罪分子的IP地址，特別是被用于嘗試多次登錄到多個(gè)不同的帳戶時(shí)。為了避免這種情況，需要使用代理。

proxies是OpenBullet的重要組成部分，它能允許用戶使用不同的IP地址進(jìn)行多次登錄嘗試，還可以設(shè)置每次連接嘗試之間的時(shí)間，這樣每次嘗試都不會(huì)在目標(biāo)網(wǎng)站上引起異常登錄活動(dòng)的警報(bào)，這種異常登錄活動(dòng)通常是由非常短的時(shí)間內(nèi)的大量嘗試產(chǎn)生的。

OpenBullet中的代理接受不同類(lèi)型的協(xié)議:HTTP、Socks4、Socks4a和Socks5。OpenBullet中添加的代理越多，對(duì)犯罪者就越有利。同樣需要注意的是，由于該工具未提供代理，因此用戶需要依靠自己的代理，可以從地下論壇或付費(fèi)代理服務(wù)購(gòu)買(mǎi)代理，甚至可以使用Internet掃描技術(shù)進(jìn)行查找。

圖4.OpenBullet的proxies選項(xiàng)卡，為不同的協(xié)議或端口上提供多個(gè)代理

Tools,Plug-ins和Settings

插件可以很容易地導(dǎo)入到OpenBullet中。通過(guò)使用附加插件，用戶能夠:

·生成所有用戶名和密碼可能的組合。

·將匹配項(xiàng)從runner選項(xiàng)卡直接導(dǎo)出到即時(shí)消息傳遞平臺(tái)。

·在大型虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）上使用已知成功的登錄名或密碼組合來(lái)獲取其所有工作代理的完整列表。

在設(shè)置選項(xiàng)卡上，OpenBullet用戶可以調(diào)整系統(tǒng)設(shè)置，例如繞過(guò)驗(yàn)證碼或使用Selenium（一種用于測(cè)試Web應(yīng)用程序的便攜式框架）。用戶需要API密鑰才能繞過(guò)驗(yàn)證碼，但該工具未提供API密鑰。

圖5.設(shè)置選項(xiàng)卡中CAPTCHA的OpenBullet選項(xiàng)

Configs

配置是OpenBullet工具的核心。由于每個(gè)網(wǎng)站處理身份驗(yàn)證或登錄的方式不同，每個(gè)網(wǎng)站都需要一個(gè)獨(dú)特的配置文件。

OpenBullet支持多種配置文件類(lèi)型，包括普通文件（.loli，或稱(chēng)為“LoliScripts”）和加密文件（.lolix）。

在OpenBullet中，可以使用稱(chēng)為“stack”的接口來(lái)創(chuàng)建或修改配置，該接口通過(guò)在堆棧中依次執(zhí)行多個(gè)稱(chēng)為“block”的任務(wù)來(lái)進(jìn)行工作。

在我們發(fā)現(xiàn)的一起以大型零售公司為目標(biāo)的配置中，可以看到除了檢查用于身份驗(yàn)證的登錄憑據(jù)是否有效之外，還可以做更多的事情。

圖6.Stacker界面顯示了要從上到下執(zhí)行的不同塊

在前面的屏幕截圖中，我們可以看到7個(gè)不同的塊:請(qǐng)求、密鑰檢查、請(qǐng)求和4個(gè)解析塊。當(dāng)運(yùn)行程序啟動(dòng)時(shí)，OpenBullet一個(gè)接一個(gè)地調(diào)用每個(gè)塊。

圖7.針對(duì)零售公司網(wǎng)站的特定配置的第一個(gè)請(qǐng)求塊

用戶還可以直接在LoliScript代碼中查看和編輯配置，如下圖所示：

圖8.LoliScript代碼中的完整配置

圖8中的腳本顯示，登錄后，用戶可以轉(zhuǎn)到受害公司的付款首選項(xiàng)頁(yè)面，并悄悄地提取信用卡信息。

這是網(wǎng)絡(luò)罪犯能通過(guò)OpenBullet進(jìn)行危害活動(dòng)的一個(gè)顯著例子。

OpenBullet配置業(yè)務(wù)

雖然有些OpenBullet配置可以很容易地在網(wǎng)上找到，但其他更敏感的配置則在專(zhuān)門(mén)的網(wǎng)站或地下網(wǎng)絡(luò)論壇上出售，配置價(jià)格一般在5美元至10美元之間。

圖9.在網(wǎng)站上出售的OpenBullet配置的類(lèi)型

由于網(wǎng)站身份驗(yàn)證過(guò)程中會(huì)不斷變化，導(dǎo)致配置使用時(shí)間有限，花5美元購(gòu)買(mǎi)的單個(gè)配置可能在幾周內(nèi)有效，但當(dāng)?shù)卿涍^(guò)程應(yīng)用更改時(shí)，它就過(guò)時(shí)了。因此，用戶傾向于按月支付以獲得必要的更新。用免費(fèi)共享一些配置以吸引用戶購(gòu)買(mǎi)更多高級(jí)配置的情況也不鮮見(jiàn)。

圖10.網(wǎng)絡(luò)罪犯在Telegram頻道上分享LoliScript配置。該腳本查找在線防病毒公司的有效憑證日志，并竊取過(guò)期激活碼。

濫用其他用于憑證填充的軟件

OpenBullet變體

由于OpenBullet是開(kāi)源的，允許第三方開(kāi)發(fā)人員創(chuàng)建自己的軟件版本（例如SilverBullet和OpenBullet Mod，Anomaly）。其中一些版本很適合網(wǎng)絡(luò)犯罪，在網(wǎng)上論壇上也很容易找到。

圖11.第三方OpenBullet版本的示例

其他軟件

除了OpenBullet，其他用于憑證填充的軟件可在GitHub或地下論壇上獲得。

圖12.與憑據(jù)檢查相關(guān)的工具包。該軟件包在某俄語(yǔ)地下論壇提供。

雖然地下市場(chǎng)上有其他工具，但OpenBullet仍然是網(wǎng)絡(luò)罪犯濫用的首選工具，因?yàn)樗峁┝巳娴闹С趾蛷V泛的可能性，尤其是它可用配置的數(shù)量。

后門(mén)配置文件

官方的OpenBullet配置格式?jīng)]有混淆，然而有許多非正式的OpenBullet配置格式都會(huì)被混淆。這使得封裝后門(mén)或所謂的命中記錄器成為可能。事實(shí)上，OpenBullet配置文件中的后門(mén)是非常常見(jiàn)的，常見(jiàn)到有很多教程告訴我們?nèi)绾蝿h除它們，如圖13所示。

圖13.在混淆的OpenBullet配置中刪除后門(mén)的教程

許多教程建議僅使用.loli/.ini/.anom，而不要使用加密的.lolix/.sccfg/.lolim/.lolip，以免運(yùn)行混淆代碼。典型的后門(mén)配置可能如圖14所示。

圖14.去混淆的后門(mén)LoliScript，敏感數(shù)據(jù)已被X取代。

基本上所有后門(mén)都涉及到發(fā)送數(shù)據(jù)的行為。在所示的示例中有一個(gè)GET請(qǐng)求，將用戶名和密碼泄漏到由后門(mén)控制器控制的特定網(wǎng)站中。

網(wǎng)絡(luò)罪犯非法獲取證書(shū)的其他方式

除了濫用合法軟件和使用惡意軟件之外，網(wǎng)絡(luò)犯罪分子還采用其他方式來(lái)獲取用戶憑據(jù)，其中之一就是網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

但是，網(wǎng)絡(luò)釣魚(yú)活動(dòng)最多只能收集數(shù)百個(gè)憑據(jù)，還要求欺詐者建立并托管網(wǎng)絡(luò)釣魚(yú)網(wǎng)站，在每個(gè)活動(dòng)中發(fā)送成千上萬(wàn)的釣魚(yú)郵件后，才能將受害者誘騙到這些網(wǎng)站。根據(jù)trendmicro 2020年Cloud App安全威脅報(bào)告顯示，到2020年，共檢測(cè)到5,465,969個(gè)憑據(jù)網(wǎng)絡(luò)釣魚(yú)攻擊并被阻止。

網(wǎng)絡(luò)釣魚(yú)活動(dòng)通常需要資源和時(shí)間，因此可能會(huì)導(dǎo)致網(wǎng)絡(luò)罪犯選擇其他不費(fèi)力氣的惡意手段。

除了在網(wǎng)上搜索被盜的憑證外，網(wǎng)絡(luò)罪犯還會(huì)破壞大型論壇等網(wǎng)站并轉(zhuǎn)儲(chǔ)其數(shù)據(jù)庫(kù)。這就是為什么網(wǎng)站管理員必須確保他們的數(shù)據(jù)庫(kù)是加密的。

憑證也可以從地下網(wǎng)站和論壇購(gòu)買(mǎi)，有時(shí)甚至可以免費(fèi)獲得。

圖15.某被盜網(wǎng)站的完整數(shù)據(jù)庫(kù)在地下論壇上出售

圖16.憑證文件的報(bào)價(jià)

憑證被盜的典型用途

當(dāng)犯罪分子通過(guò)非法手段竊取憑據(jù)時(shí)，可能僅僅是開(kāi)始，對(duì)憑據(jù)的利用可能更具破壞性。

被盜憑證的典型用法如下圖所示：

如何安全地處理多個(gè)密碼

安全專(zhuān)業(yè)人員始終建議為每個(gè)網(wǎng)站和在線服務(wù)使用不同的非簡(jiǎn)密碼。

盡管此建議很有意義，但實(shí)際情況是大多數(shù)人很難記住他每個(gè)網(wǎng)站的不同賬號(hào)密碼。根據(jù)NordPass的一項(xiàng)研究，人們平均需要記住100個(gè)在線帳戶和服務(wù)的密碼，有些人選擇寫(xiě)下他們的憑據(jù)或?qū)⑵浔４嬖谠诰€文件中，但是這些方法本質(zhì)上是高風(fēng)險(xiǎn)的：如果惡意行動(dòng)者獲得了憑證文件，那么也將獲得其中列出的所有網(wǎng)站和服務(wù)的權(quán)限。

幸運(yùn)的是，用戶可以依靠密碼管理器，可以以有效和加密的方式存儲(chǔ)管理密碼。某些密碼管理器甚至具有自動(dòng)登錄功能，可通過(guò)鍵盤(pán)快捷鍵登錄任何網(wǎng)站。

如何保持免受憑證填充攻擊的保護(hù)

以下是用戶和組織都可以采取的步驟，以保護(hù)自己免受憑證填充攻擊：

·保持良好的密碼習(xí)慣。用戶應(yīng)避免使用弱密碼，而組織應(yīng)該實(shí)施一個(gè)常用密碼的屏蔽列表以防創(chuàng)建。用戶還應(yīng)避免對(duì)各種在線帳戶和服務(wù)重復(fù)使用憑據(jù)，創(chuàng)建密碼時(shí)確保每個(gè)密碼都是唯一的，并記住要定期進(jìn)行更改。

·在網(wǎng)站和服務(wù)上啟用多因素身份驗(yàn)證（MFA）。現(xiàn)在有越來(lái)越多的網(wǎng)站和服務(wù)提供MFA，通常MFA由外部一次性密碼（OTP）組合而成，這些密碼生成并存儲(chǔ)在攻擊者難以訪問(wèn)的設(shè)備上，例如移動(dòng)電話(通過(guò)短信或第三方應(yīng)用程序)、指紋、軟件安全令牌或證書(shū)，以及安全USB密鑰。這是迄今為止對(duì)憑證填充攻擊最有效的防御。

·創(chuàng)建PIN或回答其他安全問(wèn)題。

·啟用登錄嘗試分析，包括：瀏覽器信息、IP地址、用戶行為異常分析等。

這里需要注意的是，使用CAPTCHA不應(yīng)該被認(rèn)為是一種能夠抗衡自動(dòng)登錄嘗試的安全方法。如前所述，OpenBullet可以使用幾個(gè)不同的CAPTCHA API密鑰進(jìn)行規(guī)避。

結(jié)論

數(shù)據(jù)泄露正變得越來(lái)越普遍，也越來(lái)越令人擔(dān)憂。2021年2月，歷史數(shù)據(jù)泄露匯編集合(COMB)在網(wǎng)上公開(kāi)，暴露了驚人的32億份憑證。根據(jù)這樣的發(fā)展，憑證填充攻擊的數(shù)量預(yù)計(jì)將繼續(xù)增加。

盡管越來(lái)越多的在線服務(wù)允許用戶通過(guò)雙因素認(rèn)證(2FA)或多因素認(rèn)證(MFA)來(lái)提高他們的賬戶安全性，但這些安全工具的使用率仍然很低。研究表明，人們傾向于忽略2FA或MFA，認(rèn)為自己的密碼已經(jīng)足夠強(qiáng)大，沒(méi)有必要使用這保障。在2018年就一份報(bào)告透露，90%的Gmail活躍用戶都沒(méi)有啟用2FA。

同樣的道理也適用于密碼管理器——盡管它們?cè)诒Ｗo(hù)大量獨(dú)特的密碼方面很有效，但許多用戶仍然不信任它們，更不用說(shuō)使用它們了。根據(jù)Password Manager和YouGov的一項(xiàng)調(diào)查顯示，65%的美國(guó)人不信任密碼管理器。

鑒于網(wǎng)絡(luò)犯罪分子對(duì)竊取憑證的不法利用，需要開(kāi)展更多宣傳活動(dòng)，而創(chuàng)建強(qiáng)大、獨(dú)特和安全的密碼并將其存儲(chǔ)在密碼管理器中就顯得至關(guān)重要。

本文翻譯自：https://www.trendmicro.com/en_us/research/21/d/how-cybercriminals-abuse-openbullet-for-credential-stuffing-.html