警报:有三种具有不同攻击方式的僵尸网络

凭证填充攻击是一个日益严重的问题,特别是在金融领域,僵尸网络可以发起如此多的欺诈性登录尝试,使得wave具有分布式拒绝服务(DDoS)攻击的效果。

攻击包括尝试使用从数据泄露编译的用户名和密码组合登录多个在线服务。该努力的成功取决于用户具有多个帐户的相同密码的通常做法。

网络犯罪分子自动化这些攻击,并使用僵尸网络在受感染的系统之间分发登录活动。最终目标是登录目标站点并承担帐户所有者的身份,窃取资金或收集信息。

记录了数十亿次恶意登录尝试

一家提供DDoS缓解服务的公司的一般统计数据是惊人的:从2017年11月到2018年6月,在不到一年的时间内记录了超过300亿次恶意登录尝试。

在间隔的最后两个月,机器人产生大约83亿次尝试使用被盗凭证登录。

Akamai 最新的互联网状况报告描述了针对金融领域两家公司的凭证填充攻击,其中一家同时受到三个僵尸网络的攻击。

三个僵尸网络具有不同的攻击方法

在第一种情况下,攻击者使北美大型信用合作社的网络流量大幅增加。

在一周的时间内,Akamai发现了来自1,750个互联网服务提供商(ISP)的大约20,000个IP地址的315,178次欺诈性登录尝试。在攻击中观察到4,382个不同的用户代理。

运行凭证填充攻击的第一个僵尸网络负责第三次(94,2296)恶意登录尝试。Akamai将其标记为“愚蠢的僵尸网络”,因为它的流量来自两个IP地址,所有请求都具有相同的用户代理,因此很容易识别和停止。

第二个对手更复杂,从10,000个不同的IP地址发送流量并使用695个用户代理。

“三天之内,僵尸网络平均每秒发出59次请求,并负责190,487次恶意登录尝试,”Akamai在报告中写道。

第三个僵尸网络是最难防御的,因为它采用了“低速和慢速”方法,每两分钟只发生一次恶意登录尝试,一周内总共有5,286次恶意登录尝试。它使用了188个唯一的用户代理和1,500个IP地址。

这个僵尸网络的活动使得发现并允许攻击者长时间进行活动变得更加困难。

嘈杂的僵尸网络过度使用用户代理

受证件填充攻击影响的第二个组织也是一项金融服务。它的正常流量在六天内记录了700万次合法登录,但是当僵尸网络活动开始时,有超过850万次欺诈性登录,其中大部分都发生在48小时内。

Akamai表示,三分之一的流量来自越南和美国。僵尸网络的总数量是20,000个端点,IP地址来自4,933个ISP。

放弃欺诈活动的原因是,95%的流量似乎来自同一类型的设备,三星Galaxy SM-G531H智能手机,使得不良请求更容易识别和停止。

由于可用作服务的自动化工具,凭证填充攻击很容易协调。主要要求是拥有足够大的用户名和破解密码数据库,以便提供给各种服务的登录字段。

由于数据泄露频繁且用户倾向于回收密码,因此凭证填充不缺少信息来源。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/credential-stuffing-attacks-generate-billions-of-login-attempts/

扫码关注云+社区

领取腾讯云代金券