DomainPasswordSpray: что это такое, как это работает и почему администраторам следует о нем знать.
Однажды вечером я просматривал форумы и наткнулся на тему, посвященную атакам с использованием перебора паролей. Кто-то жаловался на то, что учетные записи домена завалены попытками входа, но блокировка не работала, потому что на каждую учетную запись приходилась всего одна-две попытки. Я вспомнил свой опыт настройки мониторинга и первое столкновение с этой техникой.
Я расскажу вам о DomainPasswordSpray: что это за инструмент, как он работает и почему каждый, кто отвечает за доменную инфраструктуру, должен о нем знать.
Что такое перебор паролей (password spraying)?
Для начала давайте уточним терминологию. Распыление паролей — это разновидность атаки на пароли. В отличие от типичной атаки методом перебора, когда перебираются тысячи паролей для одной учетной записи, здесь все наоборот.
Они берут один пароль и пробуют его на тысяче учетных записей. Затем пробуют другой пароль, а потом снова пробуют все пароли. Почему это работает? Потому что в любой организации найдется несколько человек, которые используют простые пароли, такие как "Summer2024", "Welcome1" или "Company123".
Стандартные механизмы защиты, такие как блокировка после N неудачных попыток, здесь не работают. К каждой учетной записи предпринимается только одна или две попытки, и блокировка не происходит. Между тем, злоумышленник может перебрать десятки популярных паролей для тысяч пользователей за час.
Что такое DomainPasswordSpray?
DomainPasswordSpray — это инструмент, автоматизирующий подобные атаки на домен Active Directory. Он доступен на GitHub и написан на PowerShell. По сути, это скрипт, выполняющий две задачи:
1. Собирает список пользователей домена.
2. Предпринимает попытки войти в систему под каждым пользователем с указанным паролем.
Инструмент использует стандартные протоколы LDAP и Kerberos, поэтому, судя по всему, это обычная пользовательская активность. На первый взгляд ничего подозрительного нет.
Как это работает с технической точки зрения
Вкратце, процесс выглядит следующим образом.
Сначала скрипт получает список всех пользователей домена. Обычно это делается с помощью LDAP-запроса к контроллеру домена. Можно отфильтровать служебные учетные записи, отключенных пользователей и только тех, кто действительно активен.
Затем формируется список паролей. Вы можете установить один пароль или несколько. Например, популярные сезонные комбинации или стандартные требования, такие как "ChangePassword1".
Затем для каждого пользователя выполняется попытка аутентификации. Если ввод пароля проходит успешно, скрипт фиксирует успех. В противном случае он переходит к следующему шагу.
Важно, чтобы скрипт учитывал политики блокировки. Можно настроить задержки между попытками, чтобы избежать блокировки.
Кому это нужно и почему
Как обычно бывает с инструментами для пентестинга, есть две стороны медали.
Для злоумышленника. Если у злоумышленника есть список пользователей домена, ему не нужно взламывать сложные пароли. Достаточно найти пользователя с простым паролем. Затем он может разработать стратегию атаки изнутри.
Для защиты. Злоумышленники используют аналогичные инструменты, чтобы продвинуть компанию, наконец, на более слабые пароли. Они провели тест, обнаружили 10 учётных записей с помощью Welcome1, результаты были получены и получены результаты по внедрению многофакторной аутентификации.
Почему это до сих пор работает?
Кажется, о паролях говорят уже двадцать лет, а ничего не изменилось. Проблема в человеческой ошибке.
Люди не хотят запоминать сложные пароли. Если завтра правила изменятся и потребуется использовать пароли длиной в 15 символов, начнётся настоящий хаос. Пользователи будут записывать их на стикерах и приклеивать к мониторам.
Многие обходят правила, добавляя сезонные цифры к простым словам: Winter2024, Summer2024, Autumn2024. Злоумышленники знают об этом и используют эти вариации.
Как защитить себя
Защита от подбора паролей методом перебора должна быть всеобъемлющей. Нельзя просто поставить галочку и забыть об этом.
В первую очередь, многофакторная аутентификация (МФА). Многофакторная аутентификация полностью исключает подобные атаки. Даже если пароль взломан, вы не сможете войти в систему без второго фактора.
Во-вторых, сложные пароли. Но речь идёт не только о требованиях к длине, но и о запрете часто используемых комбинаций. Существуют базы данных самых популярных паролей; их необходимо блокировать.
В-третьих, мониторинг. Необходимо просмотреть журналы контроллера домена. Если вы видите множество попыток входа с одного и того же IP-адреса под разными пользователями с короткими интервалами, это повод для беспокойства.
В-четвертых, обучение. Пользователи должны понимать, почему им не следует использовать пароль "1q2w3e4r5t". Но важно не злоупотреблять им, иначе они станут невосприимчивыми к подобным вещам.
В-пятых, регулярно проводите тестирование на проникновение. Проводите такие атаки сами, прежде чем это сделает настоящий злоумышленник.
Что полезного в DomainPasswordSpray для администраторов?
Вы можете использовать этот скрипт для проверки собственных паролей. Запустите его в тестовой среде, посмотрите, какие учетные записи используют слабые пароли, а затем заставьте их изменить их.
Будьте осторожны. Если запустить скрипт на рабочем домене с задержками ниже уровня блокировки, можно заблокировать половину организации. Я сам это проверил.
Мои ошибки
Как обычно, были и некоторые подводные камни.
Впервые я решил проверить, насколько плохо у нас организовано управление паролями. Я запустил скрипт с настройками по умолчанию и забыл о политике блокировки, установленной на 3 попытки за 15 минут. Час спустя пришло около десятка заявок о том, что люди не могут войти в систему.
Во второй раз я не отфильтровывал служебные учетные записи. Мне удалось успешно войти в систему под учетными записями служб, пароли которых не менялись годами. Хорошо, что я проводил только тестирование.
В третий раз я использовал список паролей, содержащих русские буквы в неправильной кодировке. Попытки завершились ошибками, но журналы событий были забиты.
Кратко по теме
DomainPasswordSpray — это мощный инструмент, демонстрирующий, почему нельзя полагаться только на пароли. Атака проста, эффективна и обходит стандартные механизмы безопасности.
Для защиты необходимо использовать многофакторную аутентификацию, надлежащие политики паролей и мониторинг.
А сам инструмент полезен для проверки вашей инфраструктуры до того, как это сделает кто-то другой.
Однажды вечером я просматривал форумы и наткнулся на тему, посвященную атакам с использованием перебора паролей. Кто-то жаловался на то, что учетные записи домена завалены попытками входа, но блокировка не работала, потому что на каждую учетную запись приходилась всего одна-две попытки. Я вспомнил свой опыт настройки мониторинга и первое столкновение с этой техникой.
Я расскажу вам о DomainPasswordSpray: что это за инструмент, как он работает и почему каждый, кто отвечает за доменную инфраструктуру, должен о нем знать.
Что такое перебор паролей (password spraying)?
Для начала давайте уточним терминологию. Распыление паролей — это разновидность атаки на пароли. В отличие от типичной атаки методом перебора, когда перебираются тысячи паролей для одной учетной записи, здесь все наоборот.
Они берут один пароль и пробуют его на тысяче учетных записей. Затем пробуют другой пароль, а потом снова пробуют все пароли. Почему это работает? Потому что в любой организации найдется несколько человек, которые используют простые пароли, такие как "Summer2024", "Welcome1" или "Company123".
Стандартные механизмы защиты, такие как блокировка после N неудачных попыток, здесь не работают. К каждой учетной записи предпринимается только одна или две попытки, и блокировка не происходит. Между тем, злоумышленник может перебрать десятки популярных паролей для тысяч пользователей за час.
Что такое DomainPasswordSpray?
DomainPasswordSpray — это инструмент, автоматизирующий подобные атаки на домен Active Directory. Он доступен на GitHub и написан на PowerShell. По сути, это скрипт, выполняющий две задачи:
1. Собирает список пользователей домена.
2. Предпринимает попытки войти в систему под каждым пользователем с указанным паролем.
Инструмент использует стандартные протоколы LDAP и Kerberos, поэтому, судя по всему, это обычная пользовательская активность. На первый взгляд ничего подозрительного нет.
Как это работает с технической точки зрения
Вкратце, процесс выглядит следующим образом.
Сначала скрипт получает список всех пользователей домена. Обычно это делается с помощью LDAP-запроса к контроллеру домена. Можно отфильтровать служебные учетные записи, отключенных пользователей и только тех, кто действительно активен.
Затем формируется список паролей. Вы можете установить один пароль или несколько. Например, популярные сезонные комбинации или стандартные требования, такие как "ChangePassword1".
Затем для каждого пользователя выполняется попытка аутентификации. Если ввод пароля проходит успешно, скрипт фиксирует успех. В противном случае он переходит к следующему шагу.
Важно, чтобы скрипт учитывал политики блокировки. Можно настроить задержки между попытками, чтобы избежать блокировки.
Кому это нужно и почему
Как обычно бывает с инструментами для пентестинга, есть две стороны медали.
Для злоумышленника. Если у злоумышленника есть список пользователей домена, ему не нужно взламывать сложные пароли. Достаточно найти пользователя с простым паролем. Затем он может разработать стратегию атаки изнутри.
Для защиты. Злоумышленники используют аналогичные инструменты, чтобы продвинуть компанию, наконец, на более слабые пароли. Они провели тест, обнаружили 10 учётных записей с помощью Welcome1, результаты были получены и получены результаты по внедрению многофакторной аутентификации.
Почему это до сих пор работает?
Кажется, о паролях говорят уже двадцать лет, а ничего не изменилось. Проблема в человеческой ошибке.
Люди не хотят запоминать сложные пароли. Если завтра правила изменятся и потребуется использовать пароли длиной в 15 символов, начнётся настоящий хаос. Пользователи будут записывать их на стикерах и приклеивать к мониторам.
Многие обходят правила, добавляя сезонные цифры к простым словам: Winter2024, Summer2024, Autumn2024. Злоумышленники знают об этом и используют эти вариации.
Как защитить себя
Защита от подбора паролей методом перебора должна быть всеобъемлющей. Нельзя просто поставить галочку и забыть об этом.
В первую очередь, многофакторная аутентификация (МФА). Многофакторная аутентификация полностью исключает подобные атаки. Даже если пароль взломан, вы не сможете войти в систему без второго фактора.
Во-вторых, сложные пароли. Но речь идёт не только о требованиях к длине, но и о запрете часто используемых комбинаций. Существуют базы данных самых популярных паролей; их необходимо блокировать.
В-третьих, мониторинг. Необходимо просмотреть журналы контроллера домена. Если вы видите множество попыток входа с одного и того же IP-адреса под разными пользователями с короткими интервалами, это повод для беспокойства.
В-четвертых, обучение. Пользователи должны понимать, почему им не следует использовать пароль "1q2w3e4r5t". Но важно не злоупотреблять им, иначе они станут невосприимчивыми к подобным вещам.
В-пятых, регулярно проводите тестирование на проникновение. Проводите такие атаки сами, прежде чем это сделает настоящий злоумышленник.
Что полезного в DomainPasswordSpray для администраторов?
Вы можете использовать этот скрипт для проверки собственных паролей. Запустите его в тестовой среде, посмотрите, какие учетные записи используют слабые пароли, а затем заставьте их изменить их.
Будьте осторожны. Если запустить скрипт на рабочем домене с задержками ниже уровня блокировки, можно заблокировать половину организации. Я сам это проверил.
Мои ошибки
Как обычно, были и некоторые подводные камни.
Впервые я решил проверить, насколько плохо у нас организовано управление паролями. Я запустил скрипт с настройками по умолчанию и забыл о политике блокировки, установленной на 3 попытки за 15 минут. Час спустя пришло около десятка заявок о том, что люди не могут войти в систему.
Во второй раз я не отфильтровывал служебные учетные записи. Мне удалось успешно войти в систему под учетными записями служб, пароли которых не менялись годами. Хорошо, что я проводил только тестирование.
В третий раз я использовал список паролей, содержащих русские буквы в неправильной кодировке. Попытки завершились ошибками, но журналы событий были забиты.
Кратко по теме
DomainPasswordSpray — это мощный инструмент, демонстрирующий, почему нельзя полагаться только на пароли. Атака проста, эффективна и обходит стандартные механизмы безопасности.
Для защиты необходимо использовать многофакторную аутентификацию, надлежащие политики паролей и мониторинг.
А сам инструмент полезен для проверки вашей инфраструктуры до того, как это сделает кто-то другой.
