Здравствуйте, друзья! За последнее время в интернете произошло несколько интересных событий: Яндекс запустил бета-версию Островов и изменил интерфейс Вордстат, ЦОП Profit-Partner начал очередную акцию с подарками, стартовало несколько новых конкурсов. Но, пожалуй, самое резонансное, это массовые Brute Force атаки на сайты , которым подверглись хостинги по всему миру в конце июля. Опасности взлома подвержены в основном сайты на CMS WordPress и Joomla. В случае успешного взлома, сайт становится частью ботнета и используется для новых атак.
Если вы до сих пор об этом не слышали, это не значит, что оно вас не касается. С помощью технологии брутфорс подбирается логин и пароль для входа на сайт по стандартному для WordPress адресу wp-login.php путем перебора символов. В результате к сайту идет очень большое количество запросов, что может создавать повышенную нагрузку на сервер. Так что, если у вас наблюдаются проблемы с нагрузкой, надо быть особенно внимательным.
Защита от брутфорс атак (перебора паролей) на стороне хостинга
Многие хостинги своевременно отреагировали на действия хакеров, но, видимо, не все. Во всяком случае, я заметил активные действия со стороны Бегет, Спринтхост и Макхост. ТаймВеб и 1gb.ua никаких видимых движений не производили, за остальных сказать не могу.
Не помню точно, когда я первый раз услышал об этих попытках массовых подборов паролей, но тогда сразу задал вопрос в тех.поддержку Макхост, где находится мой основной блог, и получил ответ, что о проблеме им известно и все под контролем.
Через некоторое время доступ в админку был открыт. Надеюсь, на Бегете держат ситуацию под контролем, но, на всякий случай, я изменил адрес входа в панель администратора.
При попытке входа в админ.панель блога на хостинге sprinthost.ru меня до сих пор встречает такая страница:
На mchost.ru аналогичная картина:
Честно сказать, я стараюсь быть в курсе событий и периодически общаюсь с сотрудниками хостинга на предмет этой угрозы. А сегодня решил задать несколько вопросов руководителю отдела развития хостинга Игорю Белову, с которым уже многие знакомы по прошлой моей публикации о переносе сайта на Макхост. Получилось своеобразное интервью. Надеюсь, эта информация будет вам полезна, тем более что это реальная угроза для наших блогов, которую нельзя недооценивать.
Наши клиенты защищены настолько, насколько это возможно
Игорь, опишите, пожалуйста, вкратце сложившуюся ситуацию. Атаки идут по всему миру и длятся уже довольно долго, неужели никому, кроме хостингов и вебмастеров, до этого нет дела?
Первые атаки были еще в мае, но они были не столь заметными, хотя в интернет-новостях отметились. Лаборатория Касперского делала заявления по этому поводу, насколько я помню.
В интернете всегда были бот-сети. Бот-сети – это группа зараженных компьютеров, обычно компьютеров обычных пользователей. Компьютер может быть в бот сети годами, и пользователь не будет знать об этом. Большинство людей пренебрегает вопросами безопасности. Бот-сети создаются разными группами злоумышленников и создаются по-разному. Есть маленькие сети, есть огромные. Эти сети злоумышленники могут использовать сами или сдавать их в аренду для разных целей. Например, если нужно сделать так, чтобы какой-то сайт не работал, то заказывается атака на этот сайт. Компьютеры бот-сети получают сигнал с командой входить на этот сайт через определенный промежуток времени. В результате на сайт обрушивается большое количество запросов.
Тут нужно учитывать, что заказчик этих атак платит за размер сети и продолжительность, поэтому вечной атаки быть не может, т.к. чем больше атака, тем дороже. Кроме этого, с очень сильными атаками борются магистральные провайдеры.
По сути, бот-сети могут выполнять любые команды. Поэтому, можно дать им команду по подбору паролей, вот, видимо, кто-то и додумался до этого:-). Суть в том, что, зная пароль, можно добавить на сайт ссылки, заразить вирусом (для расширения бот-сети или других способов получения дохода) и т.д. Иными словами, можно извлечь с этого небольшую, но выгоду. Так как для получения значимой прибыли нужны миллионы таких сайтов, то все это делается автоматизированно.
Кстати, я специально не использовал слово “хакер”, т.к. очень часто хакеры находят уязвимость или разрабатывают хаки, но не используют их сами, а продают. А покупатели, обычно не хакеры, уже специализируются на получении дохода.
Российские органы поиском подобных злоумышленников не занимаются, за редким исключением, например, когда была атака на сайт Аэрофлота. Говорят, что нет тех.средств для этого. В США ФБР занимается только крупными группами и сетями и, обычно, когда дела связаны с кражей банковской информации или взломом сайтов крупных компаний. Но по большому счету борьба с этим всегда была на конечных потребителях.
Насколько масштабны эти атаки и какие сайты им подвержены?
На данный момент атакам подвержены сайты на WordPress и Joomla. Они достаточно масштабны, как по силе, так и по объему. Все хостинг-компании, у которых есть значительное количество сайтов, фиксируют эти атаки, т.к. они идут круглосуточно. Атакуют не хостинг-компанию, а именно сайты и не имеет значение, на каком хостинге он находится. Есть большая база сайтов и боты атакующих ходят по этим сайтам с целью подбора паролей, если там стоит WP или Joomla. Сложность тут состоит в том, что обращения идут с миллионов разных IP-адресов (видимо, используются разные бот-сети), поэтому блокировки не работают. Изначально создатели этих атак допустили небольшую техническую ошибку, о которой не буду упоминать, что позволило нам сразу запустить минимальную защиту и за несколько дней довести ее до максимальной.
Тут есть еще один важный момент. Сразу заметно возросла нагрузка на серверы, т.к. заметно увеличилось количество запросов к сайтам.
Чего добиваются хакеры и зачем им это надо?
Злоумышленники добиваются получения доступа к админке сайта, а дальше уже можно это использовать по-разному – от размещения ссылок с рекламой до заражения вирусом. Кроме защиты от атак, у нас работает антивирусная защита, поэтому если она обнаруживает заражение сайта, то на почту присылается отчет с указанием деталей и зараженных файлов.
Для нас, как для хостинг-компании, подбор паролей – это ежедневная ситуация. Поэтому мы научились с ней бороться, но не всегда возможно обратиться к нашим клиентам с этим. Например, когда мы добавили в панель функцию, запрещающую ставить легкие пароли (11111111, password и прочие), то были жалобы на это:-). Люди думают, что взлом их сайта никому не нужен, но они не понимают, что эти взломы делаются ботами на автомате, а люди лишь контролируют процесс. И если взломщик заработает с взлома их сайта всего 10 рублей, например, за размещение рекламы на несколько дней или редиректа на другой сайт, то с миллиона взломанных сайтов уже будет 10 миллионов. А есть клиенты, которые не замечают взлома месяцами.
Какие уязвимости, прежде всего, могут использовать и что предпринять обычным вебмастерам, особенно новичкам?
После начала атак мы оперативно позаботились о защите и сейчас наши клиенты защищены настолько, насколько это возможно со стороны хостинга. Более того, мы подготовили резервный механизм защиты на тот случай, если тип атаки изменится. По поводу рекомендаций. Во-первых, нужно иметь надежный пароль. Во-вторых, изменить адрес входа в админку. Но самое лучшее, это закрыть доступ в админку для всех IP-адресов, кроме ваших. Это можно сделать через файл.htaccess, но, к сожалению, последнее не всем сайтам подходит. Ведь у многих динамичный IP и придется при каждом входе в админ.панель править файл.htaccess.
Вы сказали, что Макхост, своевременно позаботился о своих клиентах и установил дополнительную защиту. Насколько это надежно и следят ли сотрудники хостинга за ситуацией, ведь хакеры могут менять тактику нападения, используя другие пути?
Текущая защита надежна настолько, насколько это возможно. Но мы подготовили и резервный вариант – более комплексная и серьезная защита, которую, по сути уже не обойти такими атаками. Мы ее примем, если тактика атаки изменится, так как текущая защита и так хорошо справляется.
Были на Вашей памяти подобные атаки, и как часто это происходит? Или это самая крупномасштабная акция за последнее время?
Атаки на CMS были постоянно, но не было такой широкой и мощной. Обычно атакующие боты были рассчитаны на какие-то уязвимости самих CMS, поэтому задевали немного сайтов. Нужно лишь вовремя обновлять CMS. Подбор паролей для FTP, к сожалению, тоже был всегда, но опять же в небольших масштабах. Обычно взламывали те сайты, которые сами пренебрегали своей безопасностью, например, ставя самые простые пароли. Сейчас ситуация отличается тем, что идет очень сильный перебор паролей.
К сожалению, в этих CMS нет простого механизма защиты от подбора. Например, задержки на вход при неверном пароле. О защите должны заботиться сами вебмастера, устанавливая дополнительные скрипты и плагины. Со своей стороны мы сделаем все возможное, чтобы они могли спать спокойно, не боясь потерять сайт. Поверьте, наши специалисты обладают достаточными для этого возможностями.
Спасибо Игорю за это блиц-интервью и содержательные ответы!
Простые способы защиты админки WordPress от взлома
В любом случае, самому надо тоже позаботиться о безопасности сайта и использовать хотя бы такие простые действия для защиты от подбора паролей:
- не использовать стандартный логин admin и установить сложный пароль для входа в админку WordPress (подробнее );
- ограничить число попыток входа в админ.панель, например, с помощью плагинов или Limit Login Attempts ;
- если у вас статичный IP, то можно разрешить вход только ему через файл.htaccess;
- изменить стандартный адрес входа /wp-login.php и /wp-admin , например, с помощью простого плагина или более мощного Better WP Security ;
- не использовать виджет “Мета “, так как в нем есть прямая ссылка “Войти “.
Вот такая информация. А как у вас обстоят дела, почувствовали ли вы на своих сайтах силу брутфорс атак?
P.S. Кого интересуют промо-коды на 3 месяца бесплатного хостинга по тарифу “Профи” от Макхост, обращайтесь, поделюсь.
У каждого из команды ][ свои предпочтения по части софта и утилит для
пен-теста. Посовещавшись, мы выяснили, что выбор так разнится, что можно
составить настоящий джентльменский набор из проверенных программ. На том и
решили. Чтобы не делать сборную солянку, весь список мы разбили на темы – и в
этот раз коснемся утилит для подбора пароля к различным сервисам.
Brutus AET2
Платформа: Windows
Последний релиз программы был в 2000 году. У тулзы давно нет официального
сайта. Но при этом Brutus AET2
по-прежнему является одним самых шустрых и
продвинутых брутфорсеров для основных Интернет-протоколов. Если нужно подобрать
пароль для HTTP (на тех страничках, где используется авторизация по
логину/паролю), произвольному веб-сервису с авторизацией через форму, почтовому
аккаунту, файловому или Telnet серверу, знай: Brutus
– отличный вариант.
В общем случае для подбора пароля нужно указать хост и порт сервиса, выбрать
протокол, установить количество используемых потоков (максимум — 60), а также
таймаут. В целях анонимности можно подключить сокс или прокси. В зависимости от
протокола также указывается ряд дополнительных параметров. Например, для подбора
пароля на каком-то сайте (тип брутфорса — HTTP Form), необходимо указать метод
(POST или GET), обозначить параметры формы (в Brutus встроено простое средство
для их анализа), а в случае необходимости подделать cookie, включив
соответствующую опцию.
Подбор осуществляется двумя способами: по словарю, причем у проги есть
несколько встроенных утилит для работы с большими списками паролей, или же с
использованием тупо сгенерированных паролей. В последнем случае необходимо
обозначить символы, которые будут использоваться для составления пасса.
При освещении в СМИ вируса NotPetya не сообщалось, что он мог наделать еще больше зла. Например, брутфорс на парламент Великобритании. Это является еще одним напоминанием того, что brute force остается глобальной угрозой:
Это также наводит нас на важные вопросы — в первую очередь, как такое могло произойти:
Подобные проблемы заставляют задуматься о том, что нужно глубже исследовать этот тип атаки.
Определение brute force
На данный момент существуют два основных метода взлома в Сети: использование человеческих ошибок или догадки. Допущенные ошибки лежат в основе множества атак: фишинг (ошибка пользователя ), использование недостатков конфигурации (ошибка администратора ) или уязвимости нулевого дня (ошибка разработчика ). Но на предположениях основан другой тип атак — brute force .
Чаще всего брутфорс атаки используются для подбора учетных данных. Хотя их можно применять для взлома URL-адреса .
Классическая brute force атака — это попытка «угадать » пароль в ПК, когда злоумышленник завладел зашифрованным его значением.
Оно позволяет хакеру использовать мощные компьютеры для тестирования большого количества паролей без риска быть обнаруженным. С другой стороны, такая brute force атака не может быть первым этапом. Для этого злоумышленник должен уже иметь копию зашифрованных паролей.
Онлайн-атака — это, когда злоумышленник пытается взломать функцию входа в систему или приложение с помощью подбора учетных данных. Так как ему не нужно сначала получать зашифрованные пароли, хакер может использовать этот метод при попытке проникнуть в систему.
Имеют ли место brute force атаки онлайн?
Одновременно подобрать имя пользователя и пароль непросто. Большинство систем при неудачном входе в систему не сообщают, что было введено неверно: имя пользователя или пароль. Первый шаг, который предпринимает злоумышленник — это попытка атаковать известных пользователей.
Хакер может находить имена пользователей, используя открытые исследования. Во многих организациях, например, логины пользователей имеют предсказуемую структуру, основанную на имени сотрудника. Простой поиск в LinkedIn позволяет выявить большое количество имен пользователей.
Тем не менее, этот тип классической brute force атаки онлайн является скорее гипотетической. Причина проста: у большинства современных систем и приложений есть встроенная блокировка. Если пользователю не удается войти в систему за несколько попыток, учетная запись блокируется и для ее разблокировки требуется вмешательство администратора.
Сегодня такая защита от брутфорса создает больше головной боли для IT-отделов , чем для злоумышленников. Обработка таких блокировок становится более насущным вопросом, чем обнаружение brute force.
Исключение составляют пользовательские приложения. Хотя традиционный вход в Windows не может быть использован для brute force , новое веб-приложение, разработанное специально для предстоящей маркетинговой кампании, вполне для этого подходит.
Рост количества случаев credential stuffing
В то время как классические онлайн-атаки с использованием brute force , идут на убыль, credential stuffing только набирает обороты.
Credential stuffing — это атака, в которой злоумышленники используют пары имя пользователя / пароль, украденные с общедоступных сайтов, чтобы проникнуть в атакуемую систему.
Количество успешных атак на общедоступные сайты увеличивается, и злоумышленники публикуют базы учетных данных или продают их на подпольных биржах. Предположение, которое слишком часто оправдывается, заключается в следующем: люди используют одинаковое имя пользователя и пароль на разных сайтах.
Подбор пароля брутфорсом при Credential stuffing позволяет обойти блокировку, поскольку каждое имя пользователя вводится только один раз. Использование известной пары имя пользователя / пароль увеличивает вероятность успеха с меньшим количеством попыток.
Поскольку в качестве контрмеры блокировка не эффективна, организации часто применяют двухфакторные механизмы аутентификации. Двухфакторная аутентификация требует, чтобы у пользователя было что-то еще помимо пароля. Например, номер мобильного, на который пользователь может получить текстовое сообщение.
Поскольку двухфакторная аутентификация громоздка, успешная аутентификация обычно одобряется на основе любого «аналогичного » доступа. «Аналогичный » доступ может представлять собой использование одного и того же устройства или географического местоположения.
Многие из нас сталкивались с сайтами, требующими двухфакторной аутентификации при обращении с нового устройства, публичной сети или во время поездок.
Хотя двухфакторная аутентификация является надежным решением, она имеет существенные недостатки: при ней изменяется пользовательский интерфейс и она предполагает интерактивный вход в систему.
Нет ничего более раздражающего, чем натолкнуться на двухфакторную аутентификацию при входе со смартфона. В результате эта опция часто оставляется на усмотрение пользователя в качестве дополнительного варианта. Поэтому возникает необходимость в системе обнаружения, связанной с использованием аналитики, которая бы распознавала метод брутфорса.
Обнаружение brute force атак
Часто рекомендуемый метод обнаружения brute force атак связан с определением классических атак. Это обнаружение нескольких неудачных попыток входа в систему для одного пользователя за короткий промежуток времени.
Многие рекомендации для начинающих при создании правил корреляции SIEM (Security Information and Event Management ) делают упор на обнаружение brute force атак именно по такому сценарию. Хотя это изящный и простой путь, но он предназначен для определения практически несуществующего вектора атак.
Фактор, который дает возможность идентифицировать brute force атаку при аутентификации — это большое количество неудачных попыток входа в систему. Но поскольку пользователь не может быть ключом к обнаружению, система должна сосредоточиться на другом ключе, чтобы связать поток событий, составляющих атаку.
Один из методов — отслеживание неудачных попыток аутентификации с одного IP-адреса . Но публичные IP-адрес а становятся более дорогими, поэтому все больше пользователей получают общий IP-адрес .
Чтобы справиться с этой проблемой, механизм обнаружения должен определять нормальную скорость соединений или сбоев от исходного IP-адреса , чтобы установить, какой будет ненормальная скорость. Тем самым принимая во внимание тот факт, что несколько пользователей могут подключаться к одному и тому же IP-адресу .
Детектор также может использовать отпечаток устройства (комбинацию свойств в событии аутентификации, характерных для устройства ) для дифференциации конкретного источника из числа тех, которые используют один и тот же IP-адрес . Но это не может быть основным фактором, а лишь способствует проверке потенциального злоумышленника. Большинство таких отпечатков находятся под контролем злоумышленника и могут быть подделаны.
Распределенные брутфорс атаки, например, путем использования ботнета или перенаправления через сеть прокси-серверов TOR , еще больше усложняют задачу. Отслеживание источника становится неэффективным. Фильтрация устройств может работать до определенной степени. Особенно если атака выполняется одним источником, но через несколько маршрутов. В качестве дополнительной меры можно использовать информацию о потенциальных угрозах, которая помогает идентифицировать доступ с известных узлов бот-сетей или прокси-серверов.
Практика обнаружения атак
До сих пор мы предполагали, что события, анализируемые для установления атаки, являются ярко выраженными. Любое событие неудавшегося входа в систему определяется как успешная или безуспешная попытка, а имя пользователя всегда находится в одном поле и имеет один формат.
Но обработка потока событий для подготовки их к анализу и обнаружению брутфорс также является проблемой, которую нужно рассматривать отдельно.
В качестве примера возьмем Windows , самый распространенный источник. Событие входа в систему Windows (идентификатор события 4624 ) и событие неудачного входа Windows (идентификатор события 4625 ) регистрируются локально на каждом компьютере. Это делает более сложным сбор информации. Это также означает, что злоумышленник, который владеет компьютером, может заблокировать ее получение. Контроллер домена регистрирует событие аутентификации, которое может использоваться как прокси для события входа в систему.
Когда поймем, какие события отслеживать, нам все равно нужно знать, как правильно идентифицировать успешную или безуспешную попытки входа в систему. Успешная или безуспешная попытки локального входа — это отдельные события, которые для аутентификации контроллера домена помечаются внутри события.
Приведенные ниже результаты поиска в Splunk (в поисковом хранилище GoSplunk ), которые я использовал для идентификации успешных и безуспешных попыток входа в Windows , демонстрируют уровень знаний, необходимых для извлечения такой информации из событий. Это даже без учета аутентификации контроллера домена.
source="WinEventLog:security" (Logon_Type=2 OR Logon_Type=7 OR Logon_Type=10) (EventCode=528 OR EventCode=540 OR EventCode=4624 OR EventCode=4625 OR EventCode=529 OR EventCode=530 OR EventCode=531 OR EventCode=532 OR EventCode=533 OR EventCode=534 OR EventCode=535 OR EventCode=536 OR EventCode=537 OR EventCode=539) | eval status=case(EventCode=528, "Successful Logon", EventCode=540, "Successful Logon", EventCode=4624, "Successful Logon", EventCode=4625, "Failed Logon", EventCode=529, "Failed Logon", EventCode=530, "Failed Logon", EventCode=531, "Failed Logon", EventCode=532, "Failed Logon", EventCode=533, "Failed Logon", EventCode=534, "Failed Logon", EventCode=535, "Failed Logon", EventCode=536, "Failed Logon", EventCode=537, "Failed Logon", EventCode=539, "Failed Logon") | stats count by status | sort - count
Обнаружение атак через Cyber Kill-Chain
Обнаружение brute force атак является непростой задачей при защите от брутфорса WordPress . Ни один из методов обнаружения, описанных выше, не дает 100-процентной гарантии результата, а злоумышленники в свою очередь постоянно совершенствуют методы противодействия их обнаружению.
Брутфорс (от английского brute force — полный перебор или метод «грубой силы») – один из популярных методов взлома паролей на серверах и в различных программах. Заключается он в том, что программа-взломщик пытается получить доступ к какой-либо программе (например, к почтовому ящику) путем перебора паролей по критериям, заданным владельцем данной программы: по словарю, по длине, по сочетаниям цифр, да в принципе таких критериев существует множество.
Способ взлома брутфорсом является достаточно долгим, но мощным, поэтому остается на вооружении у хакеров и по сей день, а с учетом все увеличивающихся мощностей компьютеров и пропускной способности интернет-каналов останется на вооружении еще на долгое время.
Данный способ подбора паролей очень хорош тем, что пароль в конце концов взламывается, но это может занять весьма и весьма долгое время, зачастую даже столетия. Так что данный способ взлома оправдывает себя не всегда, если пользователь-владелец взламываемого сервиса вел себя достаточно хитро и не использовал простых паролей типа «123», «qwerty» и тому подобных, а использовал и заглавные, и строчные символы, плюс ко всему этому задействовал и цифры, и разрешенные специальные символы. Если пароль при всем этом обладает еще и достаточной длинной (около 10 символов), то ему взлом методом брутфорс а практически не грозит.
При брутфорсе чаще всего используется словарная атака – подбор паролей идет из текстового файла заранее составленного (выпрошенного, купленного, украденного, скачанного бесплатно) словаря. Данный способ атаки очень эффективен при массовом взломе, допустим, аккаунтов интернет-мессенджера ICQ, когда злоумышленник, допустим, пытается взломать некий диапазон ICQ-номеров. При этом существует довольно большая вероятность, что при атаке по словарю ему это удастся. Примерами могут служить неоднократные факты взлома.
С 2005 года значительно увеличилось также количество атак, осуществляемых на защищенные SSH-сервисы. Даже если у вас на сервере установлено самое новейшее программное обеспечение, это вовсе не значит, что подобрать пароль к нему невозможно, если межсетевой экран бездействует или настроен неправильно или недостаточно. Так что для увеличения невозможности взлома настройте свой файервол должным образом, это поможет оградить вас от неприятных сюрпризов в дальнейшем.
Программ для проведения брута на просторах Интернета выложено очень много, также существует большое количество бесплатных и платных словарей к ним.
Так что если вы крутой хакер и хотите все взломать, то дерзайте, а если законопослушный пользователь – усложняйте все свои пароли до недосягаемых для брутфорс а высот.
Ну и напоследок поговорим немного о математической стороне брута.
Как говорит Википедия, любая задача (!!!) из класса NP может быть решена путем полного перебора. Но все это может потребовать экспоненциального времени (!!!).
При разработке различных криптографических шифров метод тотального перебора используют при оценке его (шифра) стойкости к взлому. При этом новый шифр считается достаточно стойким, если не существует более быстрого метода его взлома, чем полный перебор всех возможных ключей. Такие криптографические атаки, как и брут , являются самыми действенными, но и занимают зачастую очень много времени.
При знании некоторых условий метод брута паролей использует отсев неприемлемых значений (пустых паролей, одних и тех же повторяющихся символов и т.д.). В математике этот метод называется метод ветвей и границ.
Также при брут е используются методы распараллеливания вычислений, когда одновременно перебираются несколько паролей. Осуществляется это двумя методами: методом конвейера и методом брут а из непересекающихся подмножеств всех возможных паролей.
На этом мы заканчиваем статью, посвященную брутфорсу, и очень надеемся, что приведенная в ней информация окажется вам, наш дорогой и уважаемый читатель, полезной как в хакинге, так и в развертывании компьютерных систем безопасности.
И хотя информация в статье является далеко не полной, но мы надеемся, что вы поняли из ее содержания, в каком направлении вам следует двигаться далее.
Брутфорс (происходит от английского словосочетания: brute force) — разновидность хакерской атаки — способ взлома учётных записей в компьютерных системах, платёжных/банковских сервисах и на веб-сайтах посредством автоматизированного подбора комбинаций паролей и логинов.
Брутфорс базируется на одноимённом математическом методе (brute force), в котором правильное решение — конечное число или символьная комбинация находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.
Принцип действия брутфорса
Хакер пишет специальную программу для подбора паролей либо использует уже готовое решение своих коллег. Она может быть ориентирована на определённый почтовый сервис, сайт, соцсеть (т.е. предназначена для взлома конкретного ресурса). Далее выполняется подготовка к взлому. Она состоит из следующих этапов:
- Составление прокси-листа
В целях скрытия истинного IP-адреса компьютера, с которого будет осуществляться атака, и для предотвращения блокировки со стороны сайта, где необходимо взломать учётную запись, выполняется настройка интернет-соединения через прокси-сервер.
Поиск адресов/портов прокси осуществляется в прокси-граббере (Proxy Grabber). Эта утилита самостоятельно извлекает все данные для подключения к серверам-посредникам из сайтов, предоставляющих прокси (они задаются в списке). Другими словами, выполняется сбор прокси.
Полученная база сохраняется в отдельный текстовый файл. А затем все адреса серверов, имеющиеся в ней, проверяются на работоспособность в прокси-чекере. Довольно часто программы, предназначенные для автоматизированной добычи прокси, совмещают в себе функции и граббера, и чекера.
В итоге, получается готовый прокси лист в виде списка IP/порт, сохранённый в файле txt. (Он понадобится при настройке программы брутфорс).
- Поиск баз для брута
К брутфорсу необходимо подключить словарь — некое множество комбинаций паролей и логинов — которые он будет подставлять в форму для входа. Он также, как и прокси-лист, имеет вид списка в обычном текстовом файле (.txt). Словари, они же базы, распространяются через хакерские форумы, сайты и файлообменники. Более опытные «умельцы» создают их самостоятельно и предоставляют всем желающим за определённую плату. Чем больше база (количество комбинаций, логинов, аккаунтов), тем лучше (для хакера) — тем больше вероятность успеха взлома.
- Настройка брутфорса
Загружается прокси лист; программа подбора автоматически будет менять прокси, чтобы веб-сервер не обнаружил атаку и, соответственно, источник (узел) атаки.
Подключается словарь из комбинаций пароль/логин. Устанавливается количество потоков — сколько одновременно комбинаций брутфорс будет проверять. Мощный компьютер с высокой скоростью интернета уверено справляется с 120-200 потоками (это оптимальное значение). От этой настройки напрямую зависит скорость брута. К примеру, если выставить всего 10 потоков, подбор будет выполняться очень медленно.
- Запуск брутфорса
Успешные попытки взлома программа фиксирует: сохраняет сбрученные аккаунты (пароль/логин) в файл. Длительность процедуры подбора колеблется от нескольких часов до нескольких дней. При этом она не всегда оказывается результативной — по причине высокой криптоустойчивости данных для входа либо осуществления других защитных мер со стороны атакуемого.
Виды брутфорса
Персональный взлом
Охота за конкретным аккаунтом — в соцсети, на почтовом сервисе и т.д. Посредством либо в процессе виртуального общения злоумышленник выпытывает у жертвы логин для доступа на какой-либо сайт. Затем взламывает пароль методом подбора: указывает в брутфорс адрес веб-ресурса и добытый логин, подключает словарь.
Шансы такого взлома невелики, например, по сравнению с той же XSS-атакой. Он может увенчаться успехом, если владелец аккаунта использовал пароль из 6-7 символов с незатейливой символьной комбинацией. В противном случае на «разгадывание» более устойчивых вариантов из 12,15, 20 букв, цифр и спецсимволов понадобятся годы — десятки и сотни лет, исходя из расчётов математической формулы поиска.
Брут/чек
К брутфорсу подключается база данных с логинами/паролями от почтовых ящиков одного почтового сервиса (например, mail.ru) либо разных. И прокси лист — для маскировки узла (так как по множественным запросам с одного IP-адреса веб-сервисы электронной почты довольно быстро детектируют атаку).
В опциях брута указывается список ключевых слов (как правило, названия сайтов) — ориентиры по которым он будет искать на взломанных ящиках в письмах данные для входа (например: steampowered, worldoftanks, 4game, VK). Либо конкретный интернет-ресурс.
Пользователь, регистрируясь в онлайн-игре, соцсети или на форуме, как и полагается, указывает свой мэйл (почтовый ящик). Веб-сервис присылает сообщение на указанный адрес с данными для входа и ссылкой на подтверждения регистрации. Именно эти письма и ищет брутфорс, что выудить из них логины и пароли.
Нажимаете «СТАРТ» и программа-взломщик начинает брут. Она действует по следующему алгоритму:
- Загружает из базы логин/пароль к мэйлу.
- Проверяет доступ, или «чекает», (автоматически авторизуется): если удаётся в аккаунт зайти — плюсует в графе good (гуды) единицу (значит найден ещё один рабочий мэйл) и начинает его просматривать (см. следующие пункты); если доступа нет — заносит его в bad (бэды).
- Во всех «гудах» (открытых мэйлах) брутфорс сканирует письма по заданному хакером запросу — то есть ищет логины/пароли к указанным сайтам и платёжным системам.
- При обнаружении искомых данных — копирует их и заносит в отдельный файл.
Таким образом, совершается массовый «угон» аккаунтов — от десятков до сотен. Добытыми «трофеями» злоумышленник распоряжается уже по своему усмотрению — продажа, обмен, сбор данных, кража денег.
Удаленный взлом компьютера
Брутфорс в совокупности с другими хакерскими утилитами используется для получения удаленного доступа к запароленному ПК жертвы через интернет-канал.
Данный вид атаки состоит из следующих этапов:
- Выполняется поиск IP-сетей, в которых будет проводиться атака на компьютеры пользователей. Диапазоны адресов берутся из специальных баз либо посредством специальных программ, например таких, как IP Geo. В ней можно выбирать IP-сети по конкретному округу, региону и даже городу.
- Отобранные диапазоны IP и словари подбора устанавливаются в настройках брутфорса Lamescan (или его аналога), предназначенного для удалённого брута логина/пароля входа в систему. После запуска Lamescan делает следующее:
- выполняет коннект на каждый IP из заданного диапазона;
- после установления связи пытается подключиться к хосту (ПК) через порт 4899 (но могут быть и другие варианты);
- если порт открыт: пытается получить доступ к системе, при запросе пароля выполняет подбор; в случае успеха — сохраняет в своей базе IP-адрес хоста (компьютера) и данные для входа.
- Хакер запускает утилиту Radmin, предназначенную для управления удалёнными ПК. Задаёт сетевые координаты жертвы (IP, логин и пароль) и получает полный контроль над системой — рабочий стол (отображается визуально на дисплее компьютера взломщика), файловые директории, настройки.
Программы для брута
Классический брутфорс, один из самых первых. Тем не менее, не теряет своей актуальности и конкурирует с новыми решениями. Имеет шустрый алгоритм перебора и поддерживает все основные интернет-протоколы — TCP/IP, POP3, HTTP и др. Умеет подделывать куки. Брутит по словарю и генерирует пароли самостоятельно.
Мощный брут- чекер. Оснащён расширенным арсеналом функций по работе с базами (проверка, сортировка по доменам). Поддерживает различные типы прокси, проверяет их работоспособность. Выполняет сканирование писем в ящиках по таким настройкам, как дата, ключевое слово, адрес, непрочитанные сообщения. Может скачивать письма с Mail.ru и Yandex.
Appnimi Password Unlocker
Программа для подбора брутфорсом пароля к файлу на локальном компьютере. Этакая рабочая лошадка. Бесплатный вариант программы позволяет подбирать пароли не более 5 символов. О том как установить и пользоваться программой Appnimi Password Unlocker можно прочитать
