Brute Force

Sub-techniques (4)

ID	Name
T1110.001	Password Guessing
T1110.002	Password Cracking
T1110.003	Password Spraying
T1110.004	Credential Stuffing

Adversaries may use brute force techniques to gain access to accounts when passwords are unknown or when password hashes are obtained. Without knowledge of the password for an account or set of accounts, an adversary may systematically guess the password using a repetitive or iterative mechanism. Brute forcing passwords can take place via interaction with a service that will check the validity of those credentials or offline against previously acquired credential data, such as password hashes.

Brute forcing credentials may take place at various points during a breach. For example, adversaries may attempt to brute force access to Valid Accounts within a victim environment leveraging knowledge gathered from other post-compromise behaviors such as OS Credential Dumping, Account Discovery, or Password Policy Discovery. Adversaries may also combine brute forcing activity with behaviors such as External Remote Services as part of Initial Access.

Angreifer können Brute-Force-Techniken verwenden, um sich Zugang zu Konten zu verschaffen, wenn Passwörter unbekannt sind oder wenn Passwort-Hashes erlangt wurden. Ohne Kenntnis des Passworts für ein Konto oder eine Reihe von Konten kann ein Angreifer das Passwort systematisch mit einem sich wiederholenden oder iterativen Mechanismus erraten. Brute-Forcing von Passwörtern kann über die Interaktion mit einem Dienst erfolgen, der die Gültigkeit dieser Anmeldedaten überprüft, oder offline anhand von zuvor erlangten Anmeldedaten, z. B. Passwort-Hashes.

Das Brute-Forcing von Anmeldedaten kann zu verschiedenen Zeitpunkten während eines Einbruchs stattfinden. Beispielsweise können Angreifer versuchen, den Zugriff auf [Gültige Konten] (/techniques/T1078) in der Umgebung des Opfers zu erzwingen, indem sie sich das Wissen zunutze machen, das sie durch andere Verhaltensweisen nach der Kompromittierung erlangt haben, wie z. B. [OS Credential Dumping] (/techniques/T1003), [Account Discovery] (/techniques/T1087) oder [Password Policy Discovery] (/techniques/T1201). Angreifer können auch Brute-Force-Aktivitäten mit Verhaltensweisen wie External Remote Services als Teil des Erstzugriffs kombinieren.

Les adversaires peuvent utiliser des techniques de force brute pour accéder à des comptes lorsque les mots de passe sont inconnus ou lorsque des hachages de mots de passe sont obtenus. Sans connaître le mot de passe d'un compte ou d'un ensemble de comptes, un adversaire peut systématiquement deviner le mot de passe en utilisant un mécanisme répétitif ou itératif. Le forçage brutal de mots de passe peut se faire via une interaction avec un service qui vérifiera la validité de ces informations d'identification ou hors ligne par rapport à des données d'identification précédemment acquises, telles que des hachages de mots de passe.

Le forçage des informations d'identification peut avoir lieu à différents moments d'une violation. Par exemple, les adversaires peuvent tenter de forcer l'accès aux [Comptes valides] (/techniques/T1078) dans l'environnement d'une victime en s'appuyant sur les connaissances acquises lors d'autres comportements post-compromission tels que le [vidage des informations d'identification du système d'exploitation] (/techniques/T1003), la [découverte des comptes] (/techniques/T1087) ou la [découverte de la politique des mots de passe] (/techniques/T1201). Les adversaires peuvent également combiner une activité de forçage brutal avec des comportements tels que External Remote Services dans le cadre de l'accès initial.

Gli avversari possono usare tecniche di forza bruta per ottenere l'accesso agli account quando le password sono sconosciute o quando si ottengono gli hash delle password. Senza conoscere la password di un conto o di un insieme di conti, un avversario può indovinare sistematicamente la password utilizzando un meccanismo ripetitivo o iterativo. La forzatura bruta delle password può avvenire tramite l'interazione con un servizio che controllerà la validità di quelle credenziali o offline contro dati di credenziali acquisiti in precedenza, come gli hash delle password.

La forzatura bruta delle credenziali può avvenire in vari punti durante una violazione. Per esempio, gli avversari possono tentare di forzare brutalmente l'accesso a Valid Accounts all'interno di un ambiente vittima sfruttando la conoscenza raccolta da altri comportamenti post-compromissione come OS Credential Dumping, Account Discovery, o Password Policy Discovery. Gli avversari possono anche combinare attività di brute forcing con comportamenti come External Remote Services come parte dell'Accesso Iniziale.

Law Assessment

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.

Article	Assessment
Art. 143 Abs. 1 StGB (Datenbeschaffung) Contribution Details Last update: 2021-11-5 Autoren: Roman Kost ⓘ	Le brute forcing n'entraîne en principe pas la suppression des données. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. La forzatura non porta in linea di principio alla cancellazione dei dati. La corruzione dei dati ai sensi dell'art. 144bis SCC non è rilevante per questa tecnica di attacco. Brute forcing does not in principle lead to the deletion of data. Data corruption according to Art. 144bis SCC is not relevant for this attack technique. Brute Forcing führt grundsätzlich nicht zur Löschung von Daten. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.
Art. 144^bis Ziff. 1 StGB (Datenbeschädigung) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost ⓘ	Le brute forcing n'entraîne en principe pas la suppression des données. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. La forzatura non porta in linea di principio alla cancellazione dei dati. La corruzione dei dati ai sensi dell'art. 144bis SCC non è rilevante per questa tecnica di attacco. Brute forcing does not in principle lead to the deletion of data. Data corruption according to Art. 144bis SCC is not relevant for this attack technique. Brute Forcing führt grundsätzlich nicht zur Löschung von Daten. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

Article

Assessment

Art. 143 Abs. 1 StGB

(Datenbeschaffung)

Contribution Details
Last update: 2021-11-5
Autoren: Roman Kost ⓘ

Le brute forcing n'entraîne en principe pas la suppression des données. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque.

La forzatura non porta in linea di principio alla cancellazione dei dati. La corruzione dei dati ai sensi dell'art. 144bis SCC non è rilevante per questa tecnica di attacco.

Brute forcing does not in principle lead to the deletion of data. Data corruption according to Art. 144bis SCC is not relevant for this attack technique.

Brute Forcing führt grundsätzlich nicht zur Löschung von Daten. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

Art. 144^bis Ziff. 1 StGB

(Datenbeschädigung)

Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost ⓘ

Le brute forcing n'entraîne en principe pas la suppression des données. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque.

La forzatura non porta in linea di principio alla cancellazione dei dati. La corruzione dei dati ai sensi dell'art. 144bis SCC non è rilevante per questa tecnica di attacco.

Brute forcing does not in principle lead to the deletion of data. Data corruption according to Art. 144bis SCC is not relevant for this attack technique.

Brute Forcing führt grundsätzlich nicht zur Löschung von Daten. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

Forensics

Forensic Domain	Assessment
None assessed	There could be a forensic assessment of a subtechnique.

ID: T1110

Sub-techniques: T1110.001, T1110.002, T1110.003, T1110.004

ⓘ

Tactic: Credential Access

ⓘ

Platforms: Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS

ⓘ

Permissions Required: User

ⓘ

CAPEC ID: CAPEC-49

Contributors: Alfredo Oliveira, Trend Micro; David Fiser, @anu4is, Trend Micro; Ed Williams, Trustwave, SpiderLabs; Magno Logan, @magnologan, Trend Micro; Yossi Weizman, Azure Defender Research Team

Version: 2.3

Created: 31 May 2017

Last Modified: 30 September 2021

Translations: DE FR IT EN

Schweizerisches Strafgesetzbuch (StGB)

Relevant Articles:

Art. 143 Abs. 1 StGB (Datenbeschaffung)

Art. 144^bis Ziff. 1 StGB (Datenbeschädigung)

Relevant Forensic Domains:

Provided by LAYER 8

Procedure Examples

ID	Name	Description
G0007	APT28	APT28 can perform brute force attacks to obtain credentials.^[1]^[2]^[3]
G0082	APT38	APT38 has used brute force techniques to attempt account access when passwords are unknown or when password hashes are unavailable.^[4]
G0087	APT39	APT39 has used Ncrack to reveal credentials.^[5]
S0572	Caterpillar WebShell	Caterpillar WebShell has a module to perform brute force attacks on a system.^[6]
S0220	Chaos	Chaos conducts brute force attacks against SSH services to gain initial access.^[7]
S0488	CrackMapExec	CrackMapExec can brute force supplied user credentials across a network range.^[8]
G0105	DarkVishnya	DarkVishnya used brute-force attack to obtain login data.^[9]
G0053	FIN5	FIN5 has has used the tool GET2 Penetrator to look for remote login and hard-coded credentials.^[10]^[11]
G0117	Fox Kitten	Fox Kitten has brute forced RDP credentials.^[12]
S0599	Kinsing	Kinsing has attempted to brute force hosts over SSH.^[13]
G0049	OilRig	OilRig has used brute force techniques to obtain credentials.^[14]
S0378	PoshC2	PoshC2 has modules for brute forcing local administrator and AD user accounts.^[15]
S0583	Pysa	Pysa has used brute force attempts against a central management console, as well as some Active Directory accounts.^[16]
S0650	QakBot	QakBot can conduct brute force attacks to capture credentials.^[17]^[18]^[19]
G0010	Turla	Turla may attempt to connect to systems within a victim's network using `net use` commands and a predefined list or collection of passwords.^[20]

Mitigations

ID	Mitigation	Description
M1036	Account Use Policies	Set account lockout policies after a certain number of failed login attempts to prevent passwords from being guessed. Too strict a policy may create a denial of service condition and render environments un-usable, with all accounts used in the brute force being locked-out.
M1032	Multi-factor Authentication	Use multi-factor authentication. Where possible, also enable multi-factor authentication on externally facing services.
M1027	Password Policies	Refer to NIST guidelines when creating password policies.^[21]
M1018	User Account Management	Proactively reset accounts that are known to be part of breached credentials either immediately, or after detecting bruteforce attempts.

Detection

ID	Data Source	Data Component
DS0015	Application Log	Application Log Content
DS0017	Command	Command Execution
DS0002	User Account	User Account Authentication

Monitor authentication logs for system and application login failures of Valid Accounts. If authentication failures are high, then there may be a brute force attempt to gain access to a system using legitimate credentials. Also monitor for many failed authentication attempts across various accounts that may result from password spraying attempts. It is difficult to detect when hashes are cracked, since this is generally done outside the scope of the target network.

Überwachen Sie die Authentifizierungsprotokolle auf fehlgeschlagene System- und Anwendungsanmeldungen von Gültige Konten. Wenn die Anzahl der fehlgeschlagenen Authentifizierungen hoch ist, könnte ein Brute-Force-Versuch vorliegen, um sich mit legitimen Anmeldedaten Zugang zu einem System zu verschaffen. Achten Sie auch auf viele fehlgeschlagene Authentifizierungsversuche über verschiedene Konten hinweg, die von Passwort-Spraying-Versuchen herrühren können. Es ist schwierig zu erkennen, wenn Hashes geknackt werden, da dies in der Regel ausserhalb des Zielnetzwerks geschieht.

Surveillez les journaux d'authentification pour détecter les échecs de connexion au système et aux applications des [Comptes valides] (/techniques/T1078). Si les échecs d'authentification sont élevés, il se peut qu'il y ait une tentative de force brute pour accéder à un système en utilisant des informations d'identification légitimes. Surveillez également les nombreuses tentatives d'authentification échouées sur plusieurs comptes qui peuvent résulter de tentatives de pulvérisation de mots de passe. Il est difficile de détecter le craquage des hachages, car cela se fait généralement en dehors du périmètre du réseau cible.

Monitorare i log di autenticazione per i fallimenti di accesso al sistema e alle applicazioni di Valid Accounts. Se i fallimenti di autenticazione sono alti, allora potrebbe esserci un tentativo di forza bruta per accedere ad un sistema usando credenziali legittime. Controlli anche la presenza di molti tentativi di autenticazione falliti in vari account che potrebbero derivare da tentativi di spruzzatura di password. È difficile rilevare quando vengono craccati gli hash, dato che questo avviene generalmente al di fuori della rete di destinazione.