2018撞庫攻擊現狀：不到一年出現數百億登錄嘗試

當前，撞庫攻擊現象日益嚴重，影響到各行各業多個領域。其中，金融領域受到的影響尤甚，殭屍網路帶來大量欺詐性登錄請求，威力堪比 DDoS 攻擊。撞庫攻擊主要體現在黑客利用入侵或數據泄露獲取的賬號密碼組合多次嘗試登錄大量在線網站。登錄成功率與人們通常對賬號密碼的使用習慣有關，如果所有站點都使用相同密碼，那麼登錄就會成功。犯罪分子通常會將攻擊自動化，並利用殭屍網路在被入侵的系統上分散開展登錄活動，最終目標都是登錄到目標站點並冒充賬號主人，進而竊取錢財或搜集信息。

知名 CDN 運營商 Akamai 公司近日發布了 2018 年《互聯網現狀/安全 – 撞庫攻擊》報告，報告顯示

從 2017 年 11 月到 2018 年 6 月短短不到一年的時間內，就出現了超過 300 億次的惡意登錄嘗試。僅僅 7 月和 8 月這兩個月，殭屍利用竊取到的憑證所產生的自動化登錄嘗試就達到 83 億次。

目前，撞庫攻擊催生了數百億惡意登錄行為，其中金融行業成為了主要目標。有兩大金融公司遭遇重大攻擊，其中一個曾同時遭遇三個殭屍網路的攻擊。

三大殭屍網路通過不同途徑實施攻擊

在第一個殭屍網路

這些殭屍網路一共發起了 942296 次撞庫攻擊，在三個殭屍網路中排第三。因此，Akamai 將其標記為「啞巴殭屍」，因為其流量主要來自兩個 IP 地址，所有的請求都使用了相同的用戶代理，很容易識別並阻止。

第二個殭屍網路更加複雜，共從 1 萬個不同的 IP 地址發送流量，並利用了 695 個用戶代理。在三天之內，這個殭屍網路平均每秒發送 59 次請求，一共發起了 190487 次惡意登錄嘗試。

第三個殭屍網路則採取了「低速且慢速」的策略，每兩分鐘只發送一次登錄嘗試，一周內共發起 5286 次惡意登錄嘗試，使用了 188 個不同的用戶代理以及 1500 個 IP 地址。這種低頻行為難以識別，導致攻擊者可以長期潛伏、實現目標。

另一個遭遇撞庫攻擊的金融機構處境也很嚴峻。其歷史記錄顯示 6 天內共有 700 萬次合法登錄，但遭遇攻擊之後，共有 850 萬欺詐登錄，且大多發生在 48 小時內。監測發現，三分之一的流量來自越南和美國。發起攻擊的殭屍網路包含 2 萬個端點，以及來自 4933 個 ISP 的 IP 地址。由於 95％ 的流量來自三星 Galaxy SM-G531H 智能手機等同類設備，使得這些惡意請求更容易識別和停止。

由於目前很多工具都可以作為服務來提供，只要攻擊者手握大量用戶名和破解密碼用於登錄嘗試，就能輕易實施撞庫攻擊。而調查顯示，70% 的受訪公司不採取強力措施因谷底撞庫攻擊的原因是擔心防禦工具會影響合法用戶的試用體驗。這意味著，未來的撞庫攻擊防禦手段要在充分了解業務，不影響用戶體驗的情況下，才能迎來更好的市場，有效運行。

*參考來源：bleepingcomputer，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！