Brute Force: Credential Stuffing

Adversaries may use credentials obtained from breach dumps of unrelated accounts to gain access to target accounts through credential overlap. Occasionally, large numbers of username and password pairs are dumped online when a website or service is compromised and the user account credentials accessed. The information may be useful to an adversary attempting to compromise accounts by taking advantage of the tendency for users to use the same passwords across personal and business accounts.

Credential stuffing is a risky option because it could cause numerous authentication failures and account lockouts, depending on the organization's login failure policies.

Typically, management services over commonly used ports are used when stuffing credentials. Commonly targeted services include the following:

  • SSH (22/TCP)
  • Telnet (23/TCP)
  • FTP (21/TCP)
  • NetBIOS / SMB / Samba (139/TCP & 445/TCP)
  • LDAP (389/TCP)
  • Kerberos (88/TCP)
  • RDP / Terminal Services (3389/TCP)
  • HTTP/HTTP Management Services (80/TCP & 443/TCP)
  • MSSQL (1433/TCP)
  • Oracle (1521/TCP)
  • MySQL (3306/TCP)
  • VNC (5900/TCP)

In addition to management services, adversaries may "target single sign-on (SSO) and cloud-based applications utilizing federated authentication protocols," as well as externally facing email applications, such as Office 365.[1]

Angreifer können Anmeldedaten verwenden, die sie durch das Aufdecken von Sicherheitslücken bei nicht verwandten Konten erhalten haben, um durch Überschneidungen von Anmeldedaten Zugang zu den Zielkonten zu erhalten. Gelegentlich wird eine grosse Anzahl von Paaren aus Benutzernamen und Kennwörtern online veröffentlicht, wenn eine Website oder ein Dienst kompromittiert wurde und auf die Anmeldedaten eines Benutzerkontos zugegriffen wurde. Diese Informationen können für einen Angreifer nützlich sein, der versucht, Konten zu kompromittieren, indem er die Tendenz der Benutzer ausnutzt, dieselben Passwörter für private und geschäftliche Konten zu verwenden.

Credential Stuffing ist eine riskante Option, da es zu zahlreichen Authentifizierungsfehlern und Kontosperrungen führen kann, je nach den Richtlinien des Unternehmens für Anmeldefehler.

Normalerweise werden beim Stuffing von Anmeldedaten Verwaltungsdienste über häufig genutzte Ports verwendet. Zu den häufig angegriffenen Diensten gehören die folgenden:

  • SSH (22/TCP)
  • Telnet (23/TCP)
  • FTP (21/TCP)
  • NetBIOS / SMB / Samba (139/TCP & 445/TCP)
  • LDAP (389/TCP)
  • Kerberos (88/TCP)
  • RDP / Terminaldienste (3389/TCP)
  • HTTP/HTTP-Verwaltungsdienste (80/TCP & 443/TCP)
  • MSSQL (1433/TCP)
  • Oracle (1521/TCP)
  • MySQL (3306/TCP)
  • VNC (5900/TCP)

Zusätzlich zu den Verwaltungsdiensten können Angreifer "auf Single Sign-On (SSO) und Cloud-basierte Anwendungen abzielen, die föderierte Authentifizierungsprotokolle verwenden", sowie auf nach aussen gerichtete E-Mail-Anwendungen wie Office 365.(Zitat: US-CERT TA18-068A 2018)

Les adversaires peuvent utiliser les informations d'identification obtenues à partir de vidages de comptes sans rapport avec la violation pour accéder aux comptes cibles par le biais du chevauchement des informations d'identification. Il arrive qu'un grand nombre de paires de noms d'utilisateur et de mots de passe soit mis en ligne lorsqu'un site Web ou un service est compromis et que les informations d'identification du compte utilisateur sont accessibles. Ces informations peuvent être utiles à un adversaire qui tente de compromettre des comptes en profitant de la tendance des utilisateurs à utiliser les mêmes mots de passe sur des comptes personnels et professionnels.

Le bourrage de crédits est une option risquée car elle peut provoquer de nombreux échecs d'authentification et des blocages de comptes, selon les politiques d'échec de connexion de l'organisation.

En général, les services de gestion sur les ports couramment utilisés sont utilisés lors du bourrage d'informations d'identification. Les services couramment ciblés sont les suivants :

  • SSH (22/TCP)
  • Telnet (23/TCP)
  • FTP (21/TCP)
  • NetBIOS / SMB / Samba (139/TCP et 445/TCP)
  • LDAP (389/TCP)
  • Kerberos (88/TCP)
  • RDP / Terminal Services (3389/TCP)
  • Services de gestion HTTP/HTTP (80/TCP & 443/TCP)
  • MSSQL (1433/TCP)
  • Oracle (1521/TCP)
  • MySQL (3306/TCP)
  • VNC (5900/TCP)

Outre les services de gestion, les adversaires peuvent " cibler les applications d'authentification unique (SSO) et les applications basées sur le cloud utilisant des protocoles d'authentification fédérés ", ainsi que les applications de messagerie orientées vers l'extérieur, comme Office 365.(Citation : US-CERT TA18-068A 2018)

Gli avversari possono usare le credenziali ottenute da breach dump di account non correlati per ottenere l'accesso ad account target attraverso la sovrapposizione di credenziali. Occasionalmente, un gran numero di coppie di username e password viene scaricato online quando un sito web o un servizio viene compromesso e si accede alle credenziali dell'account utente. Le informazioni possono essere utili ad un avversario che cerca di compromettere gli account approfittando della tendenza degli utenti ad usare le stesse password tra account personali e aziendali.

Il credential stuffing è un'opzione rischiosa perché potrebbe causare numerosi fallimenti di autenticazione e blocchi di account, a seconda delle politiche di fallimento del login dell'organizzazione.

Di solito, quando si imbottiscono le credenziali si usano servizi di gestione su porte di uso comune. I servizi comunemente presi di mira sono i seguenti:

  • SSH (22/TCP)
  • Telnet (23/TCP)
  • FTP (21/TCP)
  • NetBIOS / SMB / Samba (139/TCP & 445/TCP)
  • LDAP (389/TCP)
  • Kerberos (88/TCP)
  • RDP / Servizi Terminali (3389/TCP)
  • Servizi di gestione HTTP/HTTP (80/TCP & 443/TCP)
  • MSSQL (1433/TCP)
  • Oracle (1521/TCP)
  • MySQL (3306/TCP)
  • VNC (5900/TCP)

Oltre ai servizi di gestione, gli avversari possono "prendere di mira single sign-on (SSO) e applicazioni basate su cloud che utilizzano protocolli di autenticazione federata", così come applicazioni email rivolte all'esterno, come Office 365.(Citazione: US-CERT TA18-068A 2018)

Login
ID: T1110.004
Sub-technique of:  T1110
Platforms: Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS
Permissions Required: User
CAPEC ID: CAPEC-600
Contributors: Anastasios Pingios; Diogo Fernandes
Version: 1.2
Created: 11 February 2020
Last Modified: 06 April 2021
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
G0114 Chimera

Chimera has used credential stuffing against victim's remote services to obtain valid accounts.[2]

S0266 TrickBot

TrickBot uses brute-force attack against RDP with rdpscanDll module.[3][4]

Mitigations

ID Mitigation Description
M1036 Account Use Policies

Set account lockout policies after a certain number of failed login attempts to prevent passwords from being guessed. Too strict a policy may create a denial of service condition and render environments un-usable, with all accounts used in the brute force being locked-out.

M1032 Multi-factor Authentication

Use multi-factor authentication. Where possible, also enable multi-factor authentication on externally facing services.

M1027 Password Policies

Refer to NIST guidelines when creating password policies. [5]

M1018 User Account Management

Proactively reset accounts that are known to be part of breached credentials either immediately, or after detecting bruteforce attempts.

Detection

ID Data Source Data Component
DS0015 Application Log Application Log Content
DS0002 User Account User Account Authentication

Monitor authentication logs for system and application login failures of Valid Accounts. If authentication failures are high, then there may be a brute force attempt to gain access to a system using legitimate credentials.

Überwachen Sie die Authentifizierungsprotokolle auf fehlgeschlagene System- und Anwendungsanmeldungen von Gültige Konten. Wenn die Zahl der fehlgeschlagenen Authentifizierungen hoch ist, könnte ein Brute-Force-Versuch vorliegen, um sich mit legitimen Anmeldedaten Zugang zu einem System zu verschaffen.

Surveillez les journaux d'authentification pour détecter les échecs de connexion au système et aux applications des [Comptes valides] (/techniques/T1078). Si les échecs d'authentification sont élevés, il se peut qu'il y ait une tentative de force brute pour accéder à un système en utilisant des informations d'identification légitimes.

Monitorare i log di autenticazione per i fallimenti di accesso al sistema e alle applicazioni di Valid Accounts. Se i fallimenti di autenticazione sono alti, allora potrebbe esserci un tentativo di forza bruta per accedere ad un sistema usando credenziali legittime.

References