API 攻擊分析:黑客利用大量IP低頻撞庫登錄API
近日,某互聯網公司在使用永安在線API安全管控平臺時捕獲到一起賬號撞庫風險事件,攻擊者使用大量動態代理秒撥IP對公司的某平臺登錄接口進行低頻的撞庫攻擊。永安在線API安全團隊及時響應此次風險事件,定位到了有缺陷的API,并提煉了此次風險事件的攻擊特征,幫助該公司及時調整安全應對策略,避免了大規模的用戶信息泄露。
事件分析
據了解,該公司的平臺除了可以使用微信掃碼、手機號驗證碼登錄之外,仍保留基于賬號和密碼的登錄方式。通過測試分析發現,該平臺登錄API已使用行為驗證碼進行人機校驗,且支持基于IP的限頻策略,但該登錄API存在賬號和密碼明文傳輸的涉及缺陷,也正是這一缺陷以及平臺賬號的高價值誘導攻擊者發起了此次攻擊。
下面從多個角度來還原攻擊情況:
1. 從攻擊時間來看,攻擊者主要集中在凌晨發起攻擊。非工作時間往往比較難及時發現和響應異常行為,攻擊者在該時間段發起攻擊成功率會更大一些。
2. 從攻擊者使用的賬號和密碼信息來看,此次攻擊使用的賬號/密碼組均一一對應,沒有出現賬號對應多個密碼或者一個密碼對應多個賬號的情況,密碼也并非隨機字符串、常用密碼或常用密碼字典等,由此排除暴力破解的可能。
通過分析發現,這些賬號中大部分在該平臺上不存在,推斷這批賬號/密碼組可能是攻擊者從其他的泄漏站點獲取到的,并拿來在該平臺進行撞庫嘗試攻擊。
3. 從攻擊者使用的源IP信息來看,為了繞過IP限頻的安全策略,攻擊者借助打碼平臺和動態代理平臺,一共使用了2754個動態代理秒撥IP對該登錄API進行撞庫攻擊,平均每個IP的攻擊次數為1.25次,最高的攻擊次數是7次。
至此,可以判定這是一次典型的低頻撞庫攻擊。
基于永安在線的風險情報,對此次攻擊事件的源IP進行溯源分析,發現有99%的IP近一個月在攜趣代理平臺中活躍,因此猜測攻擊者大概率是使用攜趣代理提供的IP資源發起了這次攻擊。此外,從IP所屬地域信息來看,將近一半的IP來自江蘇省和安徽省,其他的零散分散在多個地方。
但通過對IP和賬號的地域一致性進行分析,在3405次的請求中,有3202次(占比94%)存在賬號歸屬與IP地理位置不一致,這說明攻擊者在攻擊時并沒有精心構造賬號歸屬地和源IP的對應關系。這類信息是平臺運營人員在日常的運維中需要特別關注的。
4. 從攻擊者使用的UA維度來看,攻擊者偽造了一個老版本的Chrome瀏覽器來進行的攻擊。
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36
在此也提醒企業用戶在日常的平臺運維中重視這類老版本的流量請求。
總結和處置建議
1. 關于撞庫攻擊
撞庫攻擊(Credential Stuffing Attack)在網絡安全中是一個古老的概念。簡單理解,撞庫攻擊就是攻擊者使用他人在A網站的賬號密碼,去B網站嘗試登錄。很多用戶在不同平臺注冊時有使用同一套賬號/密碼的習慣,所以攻擊者在其他數據泄露或網絡攻擊事件中獲取到大量網站的登錄憑證后,會去其他不同站點嘗試登錄。就像這次事件中,攻擊者通過在其他數據泄露渠道獲取了大批賬號/密碼組,在該互聯網公司的平臺上嘗試撞庫攻擊。
從事件分析結果來看,此次風險事件是一次典型的低頻撞庫攻擊。“低頻”是由于被攻擊的登錄API對登錄IP速率做了限制,這種方式可以阻止那些高于預設閾值速率登錄的IP,提高攻擊者的攻擊門檻。但是,“道高一尺魔高一丈”,為繞過IP限頻策略和WAF,攻擊者會使用動態代理秒撥平臺的海量IP模擬一種看似正常的登錄請求,從而發起低頻撞庫攻擊。這種方式因不容易被目標平臺被發現,已成為越來越多黑灰產青睞的攻擊手段。
下圖是一個典型的撞庫攻擊場景:
(備注:圖片來自F5 Labs,文字已做中英轉換)
- 獲取憑證:攻擊者通過暗網或其他渠道獲取到歷史上被盜的賬號和密碼。
- 獲取IP代理服務,輔助攻擊:為了成功取得未授權賬戶的訪問權限,撞庫攻擊訪問需要和目標網站上的常規流量保持一致。因為在短時間內突然收到某個IP地址上百萬的登錄請求,一定會引起目標平臺的注意,所以攻擊者會尋找IP代理服務商,利用海量的IP地址資源池分布式發出登錄請求,隱藏可疑行為。
- 準備及設置攻擊參數:出于效率考慮,攻擊者會使用自動化工具,利用打碼平臺、IP代理平臺來發起自動化的攻擊。
- 發動攻擊:參數設置完成后,攻擊者開始發動攻擊,其目標是找到所有成功的登錄請求。
- 貨幣化:攻擊者在撞庫成功并接管賬號后,會進一步進行貨幣化獲利。針對目標及被攻擊站點的類型不同會采取不同的獲利方式:針對個人一般會通過詐騙性銀行交易、電商網站巨額消費、信用卡提現、爬取重要數據等不同方式榨干該賬戶;更糟糕的情況是攻擊者會登錄賬戶訪問到企業網絡,進一步提升權限,關閉基礎設施或竊取企業商業機密等。
2. 防御與檢測建議
近年來,隨著數據泄露事件的頻頻發生,撞庫攻擊事件也急劇上漲。2021年,鹽城警方破獲團伙“撞庫”盜號案,撞庫”團伙針對某網購平臺盜號1.29萬個,涉案金額近千萬;2015年,某郵箱被爆過億用戶數據由于撞庫泄露。2014年,12306遭遇撞庫攻擊,13萬數據泄露……根據Akamai的報告數據,Akamai 2020年在全球范圍內監測到1930億次撞庫攻擊。
2021年,《數據安全法》、《個人信息保護法》先后正式實施,意味著國家對數據安全的重視及監管力度與日俱增。就個人而言,保護好每一個賬號密碼,是對自身財產安全負責的表現;就企業而言,保護用戶的信息安全是基本責任之一,泄露用戶信息會缺失公信力,損毀公司品牌形象,建議企業從下面每一個小處開始,持續提升企業自身數據安全保護能力。
以下是從個人和企業兩個層面提供撞庫攻擊防御和檢測的建議:
個人方面
a. 盡量減少在不同網站使用相同密碼。
b. 定期更換常用密碼。攻擊者手里往往掌握大量的“社工庫”,里面存儲了很多已知的賬號/密碼組,定期更換密碼可縮短社工庫信息的有效期。
c. 啟用除密碼以外的其他身份驗證機制,選擇采取二次驗證、多因素驗證之類的登錄方式,如短信驗證碼登錄、人臉驗證登錄等。
企業方面
a. 使用統一登錄API
實現對登錄入口的統一管理,減少攻擊面,安全策略能夠集中控制,遇到風險也能及時響應;同時要求登錄API的賬號/密碼要進行加密傳輸,加強強弱密碼校驗。
b. 采用多因子身份認證(MFA)
如果是面向公眾或處理敏感信息的平臺,建議實施多因素身份認證。雖然該方法并非萬無一失,但能夠增加一道防御保護層。
采用多因子身份認證之后,用戶在登錄時除了提供賬號/密碼,還需提供其所擁有的如手機號、訪問令牌、指紋或者人臉認證等內容以證明身份。
c. 基于風險情報構建登錄API攻擊檢測系統
可針對登錄API提供一些基礎的安全策略,如使用驗證碼、IP速率限制、設備和瀏覽器環境和行為檢測、監控密正率、監控登錄賬號的歸屬地和IP歸屬地等;
除此之外,針對海量IP低頻的撞庫攻擊,還需要借助基于IP風險情報、API攻擊情報構建的API攻擊檢測和感知工具,確保及時預警撞庫及外部數據泄露事件的發生,盡早采取措施,避免大規模數據泄漏。例如,永安在線基于風險情報構建的API安全管控平臺,能夠梳理系統所有的登錄API,評估API的設計缺陷,監測撞庫行為和外部數據泄漏,實時告警,及時發現并阻斷低頻撞庫風險。
賬號安全是攻防的重要陣地,面對海量IP的低頻撞庫攻擊,防守方不僅要從多個維度來構建防御體系,更需要基于風險情報來構建攻擊檢測模型,做到及早感知及時防御,從而保障企業及其用戶的信息安全。
