Brute Force

Adversaries may use brute force techniques to gain access to accounts when passwords are unknown or when password hashes are obtained. Without knowledge of the password for an account or set of accounts, an adversary may systematically guess the password using a repetitive or iterative mechanism. Brute forcing passwords can take place via interaction with a service that will check the validity of those credentials or offline against previously acquired credential data, such as password hashes.

Brute forcing credentials may take place at various points during a breach. For example, adversaries may attempt to brute force access to Valid Accounts within a victim environment leveraging knowledge gathered from other post-compromise behaviors such as OS Credential Dumping, Account Discovery, or Password Policy Discovery. Adversaries may also combine brute forcing activity with behaviors such as External Remote Services as part of Initial Access.

Angreifer können Brute-Force-Techniken verwenden, um sich Zugang zu Konten zu verschaffen, wenn Passwörter unbekannt sind oder wenn Passwort-Hashes erlangt wurden. Ohne Kenntnis des Passworts für ein Konto oder eine Reihe von Konten kann ein Angreifer das Passwort systematisch mit einem sich wiederholenden oder iterativen Mechanismus erraten. Brute-Forcing von Passwörtern kann über die Interaktion mit einem Dienst erfolgen, der die Gültigkeit dieser Anmeldedaten überprüft, oder offline anhand von zuvor erlangten Anmeldedaten, z. B. Passwort-Hashes.

Das Brute-Forcing von Anmeldedaten kann zu verschiedenen Zeitpunkten während eines Einbruchs stattfinden. Beispielsweise können Angreifer versuchen, den Zugriff auf [Gültige Konten] (/techniques/T1078) in der Umgebung des Opfers zu erzwingen, indem sie sich das Wissen zunutze machen, das sie durch andere Verhaltensweisen nach der Kompromittierung erlangt haben, wie z. B. [OS Credential Dumping] (/techniques/T1003), [Account Discovery] (/techniques/T1087) oder [Password Policy Discovery] (/techniques/T1201). Angreifer können auch Brute-Force-Aktivitäten mit Verhaltensweisen wie External Remote Services als Teil des Erstzugriffs kombinieren.

Les adversaires peuvent utiliser des techniques de force brute pour accéder à des comptes lorsque les mots de passe sont inconnus ou lorsque des hachages de mots de passe sont obtenus. Sans connaître le mot de passe d'un compte ou d'un ensemble de comptes, un adversaire peut systématiquement deviner le mot de passe en utilisant un mécanisme répétitif ou itératif. Le forçage brutal de mots de passe peut se faire via une interaction avec un service qui vérifiera la validité de ces informations d'identification ou hors ligne par rapport à des données d'identification précédemment acquises, telles que des hachages de mots de passe.

Le forçage des informations d'identification peut avoir lieu à différents moments d'une violation. Par exemple, les adversaires peuvent tenter de forcer l'accès aux [Comptes valides] (/techniques/T1078) dans l'environnement d'une victime en s'appuyant sur les connaissances acquises lors d'autres comportements post-compromission tels que le [vidage des informations d'identification du système d'exploitation] (/techniques/T1003), la [découverte des comptes] (/techniques/T1087) ou la [découverte de la politique des mots de passe] (/techniques/T1201). Les adversaires peuvent également combiner une activité de forçage brutal avec des comportements tels que External Remote Services dans le cadre de l'accès initial.

Gli avversari possono usare tecniche di forza bruta per ottenere l'accesso agli account quando le password sono sconosciute o quando si ottengono gli hash delle password. Senza conoscere la password di un conto o di un insieme di conti, un avversario può indovinare sistematicamente la password utilizzando un meccanismo ripetitivo o iterativo. La forzatura bruta delle password può avvenire tramite l'interazione con un servizio che controllerà la validità di quelle credenziali o offline contro dati di credenziali acquisiti in precedenza, come gli hash delle password.

La forzatura bruta delle credenziali può avvenire in vari punti durante una violazione. Per esempio, gli avversari possono tentare di forzare brutalmente l'accesso a Valid Accounts all'interno di un ambiente vittima sfruttando la conoscenza raccolta da altri comportamenti post-compromissione come OS Credential Dumping, Account Discovery, o Password Policy Discovery. Gli avversari possono anche combinare attività di brute forcing con comportamenti come External Remote Services come parte dell'Accesso Iniziale.

Law Assessment

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.
Article Assessment
(Datenbeschaffung)
Contribution Details
Last update: 2021-11-5
Autoren: Roman Kost

Le brute forcing n'entraîne en principe pas la suppression des données. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque.

La forzatura non porta in linea di principio alla cancellazione dei dati. La corruzione dei dati ai sensi dell'art. 144bis SCC non è rilevante per questa tecnica di attacco.

Brute forcing does not in principle lead to the deletion of data. Data corruption according to Art. 144bis SCC is not relevant for this attack technique.

Brute Forcing führt grundsätzlich nicht zur Löschung von Daten. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

(Datenbeschädigung)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost

Le brute forcing n'entraîne en principe pas la suppression des données. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque.

La forzatura non porta in linea di principio alla cancellazione dei dati. La corruzione dei dati ai sensi dell'art. 144bis SCC non è rilevante per questa tecnica di attacco.

Brute forcing does not in principle lead to the deletion of data. Data corruption according to Art. 144bis SCC is not relevant for this attack technique.

Brute Forcing führt grundsätzlich nicht zur Löschung von Daten. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

Forensics

Forensic Domain Assessment
None assessed
There could be a forensic assessment of a subtechnique.
Login
ID: T1110
Sub-techniques:  T1110.001, T1110.002, T1110.003, T1110.004
Platforms: Azure AD, Containers, Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS
Permissions Required: User
CAPEC ID: CAPEC-49
Contributors: Alfredo Oliveira, Trend Micro; David Fiser, @anu4is, Trend Micro; Ed Williams, Trustwave, SpiderLabs; Magno Logan, @magnologan, Trend Micro; Yossi Weizman, Azure Defender Research Team
Version: 2.3
Created: 31 May 2017
Last Modified: 30 September 2021
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
G0007 APT28

APT28 can perform brute force attacks to obtain credentials.[1][2][3]

G0082 APT38

APT38 has used brute force techniques to attempt account access when passwords are unknown or when password hashes are unavailable.[4]

G0087 APT39

APT39 has used Ncrack to reveal credentials.[5]

S0572 Caterpillar WebShell

Caterpillar WebShell has a module to perform brute force attacks on a system.[6]

S0220 Chaos

Chaos conducts brute force attacks against SSH services to gain initial access.[7]

S0488 CrackMapExec

CrackMapExec can brute force supplied user credentials across a network range.[8]

G0105 DarkVishnya

DarkVishnya used brute-force attack to obtain login data.[9]

G0053 FIN5

FIN5 has has used the tool GET2 Penetrator to look for remote login and hard-coded credentials.[10][11]

G0117 Fox Kitten

Fox Kitten has brute forced RDP credentials.[12]

S0599 Kinsing

Kinsing has attempted to brute force hosts over SSH.[13]

G0049 OilRig

OilRig has used brute force techniques to obtain credentials.[14]

S0378 PoshC2

PoshC2 has modules for brute forcing local administrator and AD user accounts.[15]

S0583 Pysa

Pysa has used brute force attempts against a central management console, as well as some Active Directory accounts.[16]

S0650 QakBot

QakBot can conduct brute force attacks to capture credentials.[17][18][19]

G0010 Turla

Turla may attempt to connect to systems within a victim's network using net use commands and a predefined list or collection of passwords.[20]

Mitigations

ID Mitigation Description
M1036 Account Use Policies

Set account lockout policies after a certain number of failed login attempts to prevent passwords from being guessed. Too strict a policy may create a denial of service condition and render environments un-usable, with all accounts used in the brute force being locked-out.

M1032 Multi-factor Authentication

Use multi-factor authentication. Where possible, also enable multi-factor authentication on externally facing services.

M1027 Password Policies

Refer to NIST guidelines when creating password policies.[21]

M1018 User Account Management

Proactively reset accounts that are known to be part of breached credentials either immediately, or after detecting bruteforce attempts.

Detection

ID Data Source Data Component
DS0015 Application Log Application Log Content
DS0017 Command Command Execution
DS0002 User Account User Account Authentication

Monitor authentication logs for system and application login failures of Valid Accounts. If authentication failures are high, then there may be a brute force attempt to gain access to a system using legitimate credentials. Also monitor for many failed authentication attempts across various accounts that may result from password spraying attempts. It is difficult to detect when hashes are cracked, since this is generally done outside the scope of the target network.

Überwachen Sie die Authentifizierungsprotokolle auf fehlgeschlagene System- und Anwendungsanmeldungen von Gültige Konten. Wenn die Anzahl der fehlgeschlagenen Authentifizierungen hoch ist, könnte ein Brute-Force-Versuch vorliegen, um sich mit legitimen Anmeldedaten Zugang zu einem System zu verschaffen. Achten Sie auch auf viele fehlgeschlagene Authentifizierungsversuche über verschiedene Konten hinweg, die von Passwort-Spraying-Versuchen herrühren können. Es ist schwierig zu erkennen, wenn Hashes geknackt werden, da dies in der Regel ausserhalb des Zielnetzwerks geschieht.

Surveillez les journaux d'authentification pour détecter les échecs de connexion au système et aux applications des [Comptes valides] (/techniques/T1078). Si les échecs d'authentification sont élevés, il se peut qu'il y ait une tentative de force brute pour accéder à un système en utilisant des informations d'identification légitimes. Surveillez également les nombreuses tentatives d'authentification échouées sur plusieurs comptes qui peuvent résulter de tentatives de pulvérisation de mots de passe. Il est difficile de détecter le craquage des hachages, car cela se fait généralement en dehors du périmètre du réseau cible.

Monitorare i log di autenticazione per i fallimenti di accesso al sistema e alle applicazioni di Valid Accounts. Se i fallimenti di autenticazione sono alti, allora potrebbe esserci un tentativo di forza bruta per accedere ad un sistema usando credenziali legittime. Controlli anche la presenza di molti tentativi di autenticazione falliti in vari account che potrebbero derivare da tentativi di spruzzatura di password. È difficile rilevare quando vengono craccati gli hash, dato che questo avviene generalmente al di fuori della rete di destinazione.

References