跳转至

T1110-暴力破解

ATT&CK描述

攻击者想访问某账号但不知道账号密码或仅获得了账号的密码哈希时,可能会使用暴力破解技术尝试访问此账号。

凭据导出用于获取密码哈希。Pass the Hash方法行不通时,攻击者才可能会用凭据导出的方法来获取密码哈希。攻击者可以使用相应技术来系统地猜测用于计算哈希的密码,或者可以使用预先计算好的彩虹表来破解哈希。攻击者通常在目标网络以外他们自己所控制的系统上来破解哈希。

攻击者可能会在对密码和哈希一无所知的情况下胡乱尝试密码来强行登录,或使用一系列已知或可能的密码来尝试暴力破解。这种操作的风险比较大,因为它可能会导致大量认证失败和账号锁定,具体取决于组织的登录失败策略。

既然使用多个密码来暴力破解一个账号会导致该账号被锁定,攻击者可能会使用密码喷洒技术来规避这个风险。密码喷洒技术使用一个(例如“Password01”)或一小列满足域的复杂性策略的密码(并且可能是常用的密码)和网络上许多其他不同账号来尝试登录。

测试案例

暂无

检测日志

认证相关数据

测试复现

暂无

测试留痕

暂无

检测规则/思路

sigma规则

title: 暴力破解
description: 检测从一个源到一个目的地的许多身份验证失败,这表明可能存在暴力行为
tags:
    - attack.t1110
author: Aleksandr Akhremchik, oscd.community
Translator: 12306Bro
date: 2019/10/25
status: experimental
logsource:
    category: authentication #认证数据
detection:
    selection:
         action: failure #失败
    timeframe: 600s
    condition: selection | count(category) by dst_ip > 30 #统计认证数据中10分钟内目标IP大于30个且认证失败的源IP地址
fields:
    - src_ip #源IP
    - dst_ip #目的IP
    - user # 用户
falsepositives: #误报
    - Inventarization #库存化
    - Penetration testing #渗透测试
    - Vulnerability scanner #漏洞扫描器
    - Legitimate application #合法申请
level: medium #中

建议

暂无

相关TIP

[[T1110-003-linux-ssh爆破]] [[T1110-003-win-密码喷射]]

参考推荐

MITRE-ATT&CK-T1110

https://attack.mitre.org/techniques/T1110/