Cyberkriminelle wenden verschiedene Taktiken an, um Credential Stuffing-Aktivitäten zu verschleiern und grundlegende Schutzmaßnahmen wie CAPTHCAs zu umgehen. [...]
Credential Stuffing ist ein Cyberangriff, bei dem ungeschützte Benutzernamen und Passwörter verwendet werden, um durch umfangreiche, automatisierte Anmeldeanfragen betrügerischen Zugriff auf Benutzerkonten zu erhalten. Die hohe Nutzung von Benutzerkonten, die Wiederverwendung von Passwörtern und die riesigen Mengen an erbeuteten Anmeldedaten im Dark Web bieten Cyberkriminellen ideale Voraussetzungen für die Durchführung von Credential Stuffing-Kampagnen.
Erschwerend kommt hinzu, dass die Angreifer das Credential Stuffing absichtlich verschleiern, um betrügerische Zugriffsversuche als legitim erscheinen zu lassen und einer Entdeckung zu entgehen. „Credential Stuffing-Angriffe ahmen die Art von Anfragen nach, die ein legitimer Benutzer stellen würde“, erklärt Troy Hunt, Sicherheitsforscher und Gründer des Benachrichtigungsdienstes für Datenschutzverletzungen Have I Been Pwned, gegenüber CSO. „Die Angreifer fragen: Wie sieht es aus, wenn jemand eine legitime Anfrage stellt? Wie können wir das nachahmen? Richtig interessant wird es, wenn wir uns die Konfliktbereitschaft zwischen Verteidigern und Angreifern ansehen.“
Im Folgenden werden vier Methoden vorgestellt, mit denen Cyberkriminelle Credential Stuffing-Aktivitäten verbergen. Außerdem wird ein Überblick darüber gegeben, wie man sich gegen Angriffe schützen kann.
Drosselung von Anfragen zur Umgehung von Ratenbegrenzungen
Ein gängiger Trick, um Credential Stuffing-Angriffe zu verschleiern, ist die Drosselung von Anfragen, sagt Michael Isbitski, Technical Evangelist bei Salt Security und ehemaliger Gartner-Analyst. „Ratenbegrenzungen und Ressourcenbegrenzungen werden häufig als bewährte Sicherheitsverfahren für API-Vermittlungsmechanismen empfohlen“, erklärt er gegenüber CSO.
So könnten Unternehmen beispielsweise ein Ratenlimit von 10 Anfragen pro Minute für eine bestimmte API festlegen, die von einem API-Gateway vermittelt wird. Wenn ein API-Anwender 11 Anfragen in einer Minute versucht, werden die ersten 10 funktionieren, sofern der Anfragende Zugang hat, und die letzte wird explizit blockiert. „Dieser Schwellenwert wird in der Regel in der nächsten Minute zurückgesetzt, während einige Mechanismen zur Ratenbegrenzung dynamische Grenzen zulassen, bei denen ein API-Aufrufer, der als übermäßig angesehen wird, für einen längeren Zeitraum eingeschränkt werden kann, ähnlich wie bei einer Kontosperrung.
Wenn Angreifer die Anfragen drosseln, konfigurieren sie ihre Tools oder Skripte so, dass sie nahe an diesem Limit laufen, ohne dieses zu erreichen, und dann wieder zurückgehen“, fügt Isbitski hinzu, eine Technik, die oft funktioniert, weil die Ratenbegrenzungen auf normalen Verbrauchsmustern basieren, ohne dass ein Missbrauch in Betracht gezogen wird. „Eine dynamische Ratenbegrenzung, die auf einer kontinuierlichen Analyse des Verhaltens von API-Aufrufern innerhalb von Sitzungen basiert, ist die beste Verteidigungsstrategie gegen diese Technik“, sagt er.
Lösen von CAPTCHAs, um nicht-menschliche Anmeldungen zu verschleiern
Credential Stuffing-Angriffe sind automatisiert. Dies macht es für böswillige Akteure erforderlich, Kontrollen zu umgehen, die nicht-menschliche Anmeldungen verhindern sollen, insbesondere CAPTCHAs. CAPTCHAs werden bei einer Anmeldeanfrage automatisch generiert und fordern Benutzer auf, eine bildbezogene Aufgabe zu lösen, um zu beweisen, dass sie kein Bot sind. Während diese Tests für Menschen in der Regel einfach zu bestehen sind, ist es sehr unwahrscheinlich, dass ein Computerprogramm in der Lage ist, die für eine korrekte Antwort erforderlichen Informationen zu interpretieren, so dass der Zugang verweigert wird.
Akteure, die Credential Stuffing betreiben, investieren Zeit und Mühe, um Lösungen zur Umgehung dieser Barriere zu finden. Hunt zitiert einen realen, vergangenen Fall eines von Menschen geführten CAPTCHA-Lösungsdienstes, der gegen eine minimale Gebühr ständig mit CAPTCHA-Aufgaben versorgt wurde, die er lösen und über entsprechende APIs zurücksenden sollte. „Die Erfolgsquote war hoch – sie lag bei über 90 %. Es war interessant zu sehen, wie sogar Anti-Automatisierungsmaßnahmen für einen geringen Betrag umgangen werden können“, sagt er.
Dies wirft ein Schlaglicht auf die Rentabilität von Credential Stuffing und den Wert, den böswillige Akteure der Kompromittierung von Konten beimessen. „Wenn wir die Kosten für diese Angriffe zur Übernahme von Konten erhöhen können, verringern wir den ROI“, fügt Hunt hinzu.
Ändern von HTTP-Header-Daten, um die Erkennung zu umgehen
Einige Sicherheitserkennungsmechanismen versuchen, ein Profil oder einen Fingerabdruck eines API-Aufrufers zu erstellen, indem sie HTTP-Header-Informationen wie User-Agent-Strings analysieren, sagt Isbitski. Die Sicherheitsanalyse auf der Grundlage dieser Metadaten allein ist jedoch unzuverlässig und wird von Angreifern ausgenutzt.
„Es ist sogar mit einfachen Browser-Plugins vollständig vom Benutzer kontrollierbar. Durch das Abfangen von Proxys kann ein Angreifer die Kopfzeilen nach Belieben ändern und die Änderungen über mehrere Anfragen hinweg automatisieren, um die Entdeckung zu umgehen“, so Isbitski. „Sie können als Webbenutzer, als mobiler Benutzer, als IoT-Gerät oder als etwas anderes auftreten, wenn die Erkennung auf eine solche Header-Untersuchung beschränkt ist.“
Unternehmen müssen mehr als nur HTTP-Header-Informationen analysieren und das Verhalten von Benutzern innerhalb von Sitzungen untersuchen, um missbräuchliche API-Aufrufer zu identifizieren, sagt Isbitski. „Dies erfordert die Sammlung von API-Telemetrie an zahlreichen Punkten der Architektur und eine kontinuierliche Analyse, um Anomalien zu identifizieren, die Anzeichen für einen Angriff sein könnten.“
Geo-Verteilung von API-Anfragen zur Aufhebung von Allow- und Deny-Listen
IP-Adressen-Zulassungs- und Ablehnungslisten vermitteln Aufrufe an eine Back-End-API und können so konfiguriert werden, dass eine Netzwerkverbindung blockiert wird, wenn der API-Aufruf von einer IP-Adresse oder einem Raum ausgeht, die/der als bösartig bekannt ist. Um dies zu umgehen, verwenden Angreifer Proxys, um Anmeldeversuche so aussehen zu lassen, als kämen sie von verschiedenen Orten.
„Diese Methode kann einen Bedrohungsakteur in einem anderen Land ansiedeln als dem, in dem er sich aufhält, und führt dazu, dass Netzwerkverteidiger Pakete beobachten, die von einer Quell-IP-Adresse stammen, die den Datenverkehr nicht erzeugt hat“, erklärt Chris Morgan, Senior Cyberthreat Intelligence-Analyst bei Digital Shadows, gegenüber CSO. Bedrohungsakteure verwenden Netzwerktunnel, um ihre Quell-IP-Adresse und ihren Standort zu verschleiern, was die Zuordnung für die Netzwerkverteidiger erschwert, fügt er hinzu.
„Angreifer nutzen auch in der Cloud gehostete Rechenleistung, um ihre Angriffe zu starten und zu verbreiten“, sagt Isbitski. IP-Adressräume von Cloud-Service-Providern (CSPs) werden von Unternehmen oft als vertrauenswürdig eingestuft, so dass genehmigte Cloud-Ressourcen und -Integrationen ohne Probleme funktionieren können.“
Cloud-basierte IP-Adressen, insbesondere bei containerisierten Formen der Datenverarbeitung, sind für Unternehmen zu flüchtig, um sie über IP-Adressen-Zulassungs-/Verweigerungslisten auf dem Laufenden zu halten, meint Isbitski. „Wenn sich ein CSP durchsetzt, wird der Angreifer zu neuen Formen der Datenverarbeitung oder ganz neuen CSPs übergehen. Ähnlich wie bei der Ratenbegrenzung muss der Sicherheitsschutz dynamischer sein, damit er erkennen kann, wenn ein Angreifer die Herkunft seiner API-Anfragen wechselt oder ein missbräuchliches Verhalten an den Tag legt.“
Verhinderung von Credential Stuffing-Angriffen
Hunt zufolge ist eine mehrschichtige Verteidigung der Schlüssel zur Verhinderung von Credential Stuffing-Angriffen für CISOs, beginnend mit der Einführung einer Kultur der guten Passworthygiene in einem Unternehmen. „Solange wir nicht in der Lage sind, die Menschen zu Passwortmanagern zu führen und eine breitere Akzeptanz zu erreichen, werden wir immer nur an den Rändern rütteln. Ich denke, das ist eine leicht zu erreichende Lösung. Wir sollten versuchen, die Leute davon abzuhalten, Passwörter zu verwenden, die das Risiko einer Kontoübernahme erhöhen.
Die Zwei-Faktor-Authentifizierung ist der nächstbeste Schritt, erklärt Hunt und weist darauf hin, dass etwas so Einfaches wie die SMS-Authentifizierung hilfreich und einfach zu implementieren ist. „Es ist eine gute Idee, den Leuten die entsprechenden Tools zur Verfügung zu stellen, und es ist eine Frage, was im Hintergrund passiert, ohne den Anmeldefluss zu sehr zu behindern. Wir wollen nichts tun, was die Menschen daran hindert, einen Dienst ohne große Schwierigkeiten zu nutzen.“
Von dort aus können komplexere Konfidenzschwellen eingeführt werden, die in Kraft treten, wenn eine Kombination von Indikatoren auftritt, die zusätzliche Authentifizierungsprüfungen erfordern. „Wenn unser Vertrauen unter einen bestimmten Schwellenwert sinkt, können wir sagen: Sie haben den richtigen Benutzernamen und das richtige Kennwort eingegeben, aber das klingt nicht ganz richtig, also haben wir Ihnen eine E-Mail mit einem Verifizierungs-Token geschickt, und wenn es nur ein Klick ist, ist das aus Sicht der Benutzerfreundlichkeit nicht allzu schlimm“, so Hunt.
Zu guter Letzt, und das ist vielleicht das Wichtigste, rät Hunt Unternehmen, die Risikowerte in ihrem gesamten Spektrum von Diensten genau zu verstehen und die Auswirkungen potenziell verdächtiger Anmeldungen auf jeden einzelnen Dienst zu messen. „Es ist eine Sache, wenn sich jemand in mein Chrome-Konto einloggt, um Katzenbilder zu kommentieren, und es ist eine ganz andere Sache, wenn er sich in eine Kryptowährungs-Wallet einloggt. Es muss also angemessene Kontrollen für das Risiko und die Folgen geben.“
*Michael Hill ist der britische Redakteur von CSO Online. In den letzten mehr als fünf Jahren hat er über verschiedene Aspekte der Cybersicherheitsbranche berichtet, mit besonderem Interesse an der sich ständig weiterentwickelnden Rolle der mit dem Menschen verbundenen Elemente der Informationssicherheit.
Be the first to comment