パスワードスプレー攻撃は、攻撃者は有効なアカウント認証情報を取得するために、多くの異なるアカウントに対して、一般的に使用されるパスワードリストを使用してアカウント名とパスワードが一致する組み合わせを見つける攻撃です。
1つのアカウントを多くのパスワードでブルートフォースする際に通常発生するアカウントロックアウトを回避することができる手法となっています。
一般的にパスワードスプレー攻撃には、一般的に使用されているポートの管理サービスが使用されます。一般的に狙われるサービスには以下のようなものがあります。
- SSH (22/TCP)
- Telnet(23/TCP)
- FTP (21/TCP)
- NetBIOS / SMB / Samba (139/TCP & 445/TCP)
- LDAP (389/TCP)
- Kerberos (88/TCP)
- RDP / Terminal service (3389/TCP)
- HTTP/HTTP管理サービス (80/TCP & 443/TCP)
- mssql(1433/TCP
- Oracle (1521/TCP)
- MySQL (3306/TCP)
- VNC (5900/TCP)
管理サービス以外にも「シングルサインオン(SSO)や連携認証プロトコルを利用したクラウドベースのアプリケーション」や、「Office 365などの外部向けメールアプリケーション」が標的になることがあります
デフォルトの環境では、LDAPとKerberosの接続は、SMBを介してイベントをトリガする可能性が低く、Windowsの「ログオン失敗」イベントID 4625が作成されます。
攻撃例
APT28
APT28はブルートフォース/パスワード・スプレー・ツールを使用しており、2つのモードで動作していました。パスワード・スプレー・モードでは、数日から数週間の間、対象となるアカウントに対して1時間あたり約4回の認証試行を行っていました
APT33
APT33は、パスワード・スプレーを使用してターゲット・システムにアクセスします
CrackMapExec
CrackMapExecは、提供されたユーザー名のリストと単一のパスワードを使用して、ブルートフォース認証を行うことができます
Lazarus Group
Lazarus Groupは、Administratorを中心としたユーザー名と脆弱なパスワードの組み合わせで生成されたユーザー名のリストを用いて、ラテラルムーブメントのためにWindows共有に接続しようとするマルウェアです
Leafminer
Leafminerは、Total SMB BruteForcerと呼ばれるツールを使用して、内部のパスワード・スプレーを実行していました
Linux Rabbit
Linux Rabbitは、SSHのパスワードをブルートフォースして、アクセスしてサーバーにマルウェアをインストールしようとしました。
MailSniper
MailSniperは、ExchangeやOffice 365に対するパスワードスプレイに使用できます
対応策
アカウント使用ポリシー
パスワードが推測されないように、一定回数ログインに失敗したらアカウントをロックアウトするポリシーを設定します。
このポリシーが厳しすぎると、ブルートフォースに使用されたすべてのアカウントがロックアウトされ、サービス拒否状態になり、環境が使用できなくなる可能性があります。
多要素認証
多要素認証を使用します。可能であれば、外部向けのサービスでも多要素認証を有効にする。
検出
認証ログを監視して、有効なアカウントによるシステムやアプリケーションのログインに失敗していないか確認します。
特に、パスワード・スプレーの試みに起因する可能性のある、様々なアカウントでの多数の認証失敗を監視します。
Comments