Discussione Attacchi bruteforce nel 2023: sono davvero morti?

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
Una nota di sicurezza informatica che oggi è molto trascurata sono gli attacchi bruteforce. Chi non ha mai provato a indovinare una password manualmente, o con l'ausilio di un programma che fa numerosi tentativi, finché non la indovina?

I portali di web-login moderni (Facebook) creano una sensazione di falsa sicurezza sugli attacchi bruteforce, questi portali ci obbligano ad usare una password complessa per scongiurare il rischio di quest'attacco, o comunque lo intralciano bloccando troppi tentativi di auth. Ma quindi, quest'attacco è diventato davvero inutile? Come se gli unici form di login esistenti siano questi...

L'attacco bruteforce, non è una strategia intelligente (anche quando sembra fattibile), e attualmente i login su cui è più efficace sono SSH, SMB o FTP. Questi servizi sono installati rispettivamente sulle porte 22, 445 e 21. E' davvero molto ignorante rassicurarsi sotto quest'aspetto, perché la maggior parte dei data breach avviene quando questi servizi vengono violati, e non quando viene violato il login di un social media.

Hydra è un tool popolare, che può fare un enorme numero di tentativi al minuto per indovinare le credenziali di Windows, autenticandosi attraverso il SMB, e può farlo anche per SSH ed FTP (più popolari su sistemi Unix). Una shell SSH compromessa da un bruteforce, ha un livello di severità gravissimo, e non c'è EDR che possa killarla, poiché differentemente dalle shell "illegali" che nascono da file infetti, una shell SSH è legalmente approvata da ogni fornitore di cybersecurity (vedi PuTTy.exe ad esempio), e il motivo è che si tratta di un servizio legittimo, che usa una password (o una public key), di conseguenza quando viene usata una password debole (indovinata dall'attaccante), non ci sarà alcun EDR o AV che aprirà il solito banner avvertendovi del pericolo.

Sembra spaventoso, vero? Ma in realtà il bruteforce è un attacco davvero molto stupido, che può creare problemi solamente ad Amministratori davvero negligenti. Infatti, sia in Microsoft WIndows, che nei sistemi Unix, è possibile semplicemente documentare quotidianamente gli event log per sniperare un bruteforce.

  1. In Windows, tutto quello che ci occorre fare, è aprire "Start" e digitare "Event viewer", aprendolo e navigando alla voce "Windows Logs", è possibile visualizzare tutti i tentativi errati del bruteforce.

  2. In Unix, è sufficiente navigare alla voce "/var/log/auth. log" per visualizzare tutti i tentativi di login effettuati sui servizi che richiedeono autenticazione;
Anche trovare l'Event viewer o gli auth.log "resettati misteriosamente" è una prova certa di un bruteforce: l'attaccante li ha resettati nel tentativo di occultare l'attacco. In seguito ad un registro eventi resettato (non da voi) o pieno di tentativi di login (che siano andati bene o male) bisognerà disconnettere il device da internet alla ricerca di tracce malware (ordinando i file per data), oppure servendosi un ottimo AV (purtroppo gli unici buoni sono a pagamento). In ogni caso, è sempre meglio prevenire piuttosto che curare, e tutto ciò che basta fare è utilizzare una password molto forte e complessa su servizi critici come SMB, SSH ed FTP. Una shell Meterpreter può essere risolta da ogni EDR a pagamento come Norton IS o ESET, ma una shell SSH forzata da un bruteforce è inarrestabile, remind.

Più in generale, un'applicazione intelligente degli attacchi bruteforce è quella di ricercare directory nascoste in una webapp, oppure scansionare un range di indirizzi IP alla ricerca di host vulnerabili ad un exploit. Quindi, la risposta è NO, il bruteforce non è un attacco completamente morto, anche se i login dei social media hanno adottato da tempo severe contromisure contro di esso.
 
  • Mi piace
Reazioni: 0xbro e TheWorm91
Più in generale, un'applicazione intelligente degli attacchi bruteforce è quella di ricercare directory nascoste in una webapp, oppure scansionare un range di indirizzi IP alla ricerca di host vulnerabili ad un exploit

Possiamo dire che il bruteforce più che attacco attivo sia diventato uno strumento di information gathering per la preparazione di un attacco.
Ovviamente questo vale nel caso siano impostate password diverse da quelle di default e complesse.
 
Stato
Discussione chiusa ad ulteriori risposte.