"Распыление паролей" - это атака на каналы аутентификации, где злоумышленник берет большое количество пользователей и один пароль, а затем пробует каждого пользователя с этим паролем, пока не будет подобрана верная комбинация.Во многих организациях действует политика блокирования учетной записи сотрудника после нескольких неудачных попыток входа. Использование одного пароля в комбинации с разными логинами позволяет избежать блокирования учетных записей.
Такие атаки нередко бывают успешными, поскольку многие пользователи защищают свои аккаунты простыми паролями, которые несложно подобрать, например P@ssword, 123456, Qwerty123, P@ssword1, !QAZ2wsx и так далее.
Атаки с распылением паролей часто происходят в организациях, где используются пароли по умолчанию (их могут устанавливать для новых пользователей администраторы или сами приложения). Системы единого входа и облачные платформы тоже часто становятся источником угрозы.
Самый простой способ выполнить Password Spraying – применить инструмент CrackMapExec:
cme smb 192.168.1.101 -u /path/to/users.txt -p Summer2024 --continue-on-success
Данная команда проверит всех пользователей из списка "users.txt", подставив пароль "Summer2024". Параметр "--continue-on-success" отвечает за то, чтобы процесс не прервался после нахождения валидной пары.
Вот еще пример атаки с применением инструмента
python3 RDPassSpray.py -U /root/Desktop/user.txt -p 123 -t 192.168.1.106
Password Spraying может быть проведена и в веб-приложениях. Ниже представлен пример с использованием BurpSuite.
На вкладке «Positions» нужно будет добавить анкоры для имени пользователя, как показано на рисунке ниже. Человек делает это для того, чтобы BurpSuite мог нацелиться на имена пользователей для осуществления итерационных атак, которые злоумышленник будет проводить.
Теперь необходимо перейти на вкладку «Payload». Здесь пользователь будет устанавливать параметры полезной нагрузки или имена пользователей, которые будут помещены в словарь для распыления.
После добавления достаточного количества имен пользователей следует нажать на кнопку «Start Attack». При этом появится новое окно, как показано на рисунке ниже. Здесь пользователь увидит разницу между длинами запроса, который говорит о том, что пароль «bug» подходит для некоторых пользователей.
Данную атаку также можно провести с применением а на канале вы можете найти отличную других инструментов для распыления паролей.
Атаки с распылением паролей сопряжены с многочисленными неудачными попытками авторизации с разных аккаунтов, что делает эту технику достаточно скрытной. Для выявления такой активности нужно изучить журналы аутентификации на предмет неудачных попыток входа в систему и приложения.
Вот основные признаки атаки с распылением паролей:
Такие атаки нередко бывают успешными, поскольку многие пользователи защищают свои аккаунты простыми паролями, которые несложно подобрать, например P@ssword, 123456, Qwerty123, P@ssword1, !QAZ2wsx и так далее.
Атаки с распылением паролей часто происходят в организациях, где используются пароли по умолчанию (их могут устанавливать для новых пользователей администраторы или сами приложения). Системы единого входа и облачные платформы тоже часто становятся источником угрозы.
Самый простой способ выполнить Password Spraying – применить инструмент CrackMapExec:
cme smb 192.168.1.101 -u /path/to/users.txt -p Summer2024 --continue-on-success
Данная команда проверит всех пользователей из списка "users.txt", подставив пароль "Summer2024". Параметр "--continue-on-success" отвечает за то, чтобы процесс не прервался после нахождения валидной пары.
Вот еще пример атаки с применением инструмента
python3 RDPassSpray.py -U /root/Desktop/user.txt -p 123 -t 192.168.1.106
Password Spraying может быть проведена и в веб-приложениях. Ниже представлен пример с использованием BurpSuite.
На вкладке «Positions» нужно будет добавить анкоры для имени пользователя, как показано на рисунке ниже. Человек делает это для того, чтобы BurpSuite мог нацелиться на имена пользователей для осуществления итерационных атак, которые злоумышленник будет проводить.
Теперь необходимо перейти на вкладку «Payload». Здесь пользователь будет устанавливать параметры полезной нагрузки или имена пользователей, которые будут помещены в словарь для распыления.
После добавления достаточного количества имен пользователей следует нажать на кнопку «Start Attack». При этом появится новое окно, как показано на рисунке ниже. Здесь пользователь увидит разницу между длинами запроса, который говорит о том, что пароль «bug» подходит для некоторых пользователей.
Данную атаку также можно провести с применением а на канале вы можете найти отличную других инструментов для распыления паролей.
Атаки с распылением паролей сопряжены с многочисленными неудачными попытками авторизации с разных аккаунтов, что делает эту технику достаточно скрытной. Для выявления такой активности нужно изучить журналы аутентификации на предмет неудачных попыток входа в систему и приложения.
Вот основные признаки атаки с распылением паролей:
- большое количество попыток аутентификации за короткий период времени;
- резкое увеличение неудачных попыток входа активных пользователей;
- попытки входа в несуществующие или деактивированные аккаунты.
