ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1110

术语表: /attack/glossary

暴力破解

当密码未知或者获得密码散列时,攻击者可以使用爆破来尝试访问帐户。 当无法进行哈希传递时,通过凭证转储 (Credential Dumping) 获取密码散列对攻击的作用不大。 攻击者可以利用系统地猜测用于计算散列的密码的技术,也可以使用预先计算的彩虹表。 破解散列通常在目标网络之外的由攻击者控制的系统上进行。

在不知道密码或散列的情况下,攻击者可能会在操作期间利用零知识或者尝试常见的或可能的密码列表,尝试爆破登录。 该选择风险较高,因为它可能会导致无数次身份验证失败并锁定帐户,具体取决于组织的登录失败策略。

相关技术密码喷射使用符合域的复杂性策略一个密码,或小的密码列表,可以是常用密码。 尝试使用该密码和网络上的多个不同帐户登录,以避免帐户锁定,而该情况在暴力尝试使用多个密码登录单一帐户时常常发生。

缓解

在一定次数的尝试登录失败后设置帐户锁定策略以防止密码被猜到。 使用多因素身份验证。 遵循缓解访问有效帐户 (Valid Accounts) 技术的最佳实践

检测

很难检测何时散列被破解,因为这通常在目标网络的范围之外进行。 监控有效帐户的系统和应用程序登录失败的身份验证日志。 如果身份验证失败率很高,那么可能存在使用合法凭据强行访问系统的恶意行为。 还可以监视可能由于尝试密码喷射而导致的跨多个帐户的许多失败的身份验证尝试。