Passwort-Spraying (Password Spraying)

Was ist Passwort-Spraying (Password Spraying)?

Passwort-Spraying ist eine effektive Taktik, da sie relativ einfach durchzuführen ist und die Benutzer oft leicht zu erratende Passwörter haben. Sie verwenden möglicherweise gewöhnliche Wörter aus dem Wörterbuch oder das Standardpasswort, das mit ihrem Konto oder Gerät geliefert wurde.

Wie funktioniert ein Passwort-Spraying-Angriff?

Um einen Passwort-Spraying-Angriff durchzuführen, benötigt ein böswilliger Akteur eine Liste von Benutzernamen in der Zielumgebung und mindestens ein - in der Regel jedoch mehrere - gängige Passwörter, mit denen er die Konten „besprühen“ kann.

Der Cyberangreifer kann eine Liste von Benutzernamen kaufen, kompromittierte Benutzernamen aus früheren Sicherheitsverletzungen oder Datenlecks beschaffen oder eine Liste mit gängigen Standard-Nutzernamenformaten erstellen. Der Angreifer könnte zum Beispiel eine Liste von Mitarbeitern aus einem Unternehmensverzeichnis oder einer LinkedIn-Seite nehmen und daraus Benutzernamen ableiten. Ein wahrscheinlicher Benutzername für John Smith, Angestellter von TechCompany, ist zum Beispiel [email protected]. Der Angreifer kann auch bestimmte Mitarbeiter ins Visier nehmen und deren Benutzernamen herausfinden.

Um an eine Kennwortliste zu gelangen, könnte der Angreifer Berichte und Studien nutzen, in denen gängige Kennwörter aufgelistet sind, oder sich darauf konzentrieren, eigene Kennwörter zusammenzustellen, indem er relevante Informationen über die Zielorganisation oder -konten verwendet, beispielsweise den Standort oder den Namen der Organisation. Der Angreifer kann auch gängige Kennwörter mit Hilfe eines Wörterbuchangriffs ableiten, indem er eine Liste von Kennwörtern zusammenstellt, die aus gängigen Wörterbucheinträgen bestehen.

Sobald der Cyberangreifer seine Listen mit Benutzernamen und Passwörtern hat, wendet er ein Passwort auf jeden Benutzernamen an, bevor er den Vorgang mit dem nächsten Passwort wiederholt. Indem er jeweils nur ein Passwort ausprobiert, kann der Angreifer die Kontosperrung vermeiden, die bei zu vielen Anmeldeversuchen erfolgt. Der Hacker nutzt häufig Automatisierungsfunktionen, um die Kombinationen aus Benutzername und Kennwort schnell durchzugehen und eine Übereinstimmung zu finden.

Wer verwendet Passwort-Spraying-Angriffe?

Passwort-Spraying-Angriffe können von Angreifern mit unterschiedlichen Fähigkeiten genutzt werden, da sie relativ einfach durchzuführen sind. Die untersuchende Organisation muss feststellen, welche anderen Mechanismen - wenn überhaupt - als Teil des umfassenderen Angriffs verwendet wurden. Der Passwort-Spraying-Angriff könnte zum Beispiel eine Komponente eines größeren Angriffs sein, bei dem das Netzwerk eines Unternehmens mit Ransomware infiziert oder ein schleichendes, diskretes Datenleck verursacht wird.

Obwohl die Passwort-Spraying-Attacke für Angreifer aller Qualifikationsniveaus zugänglich ist, haben staatlich unterstützte Cybercrime-Gruppen eine beständige Tendenz gezeigt, diese Technik einzusetzen.

Auf wen zielen Passwort-Spraying-Angriffe ab?

Passwort-Spraying-Angriffe sind je nach dem Motiv des Angreifers unterschiedlich spezifisch. Sie zielen im Allgemeinen auf eine Reihe von Konten ab, da die Technik viele Konten erfordert, um zu funktionieren. Das Ziel eines Passwort-Spraying-Angriffs kann jedoch auch darin bestehen, in das Konto eines bestimmten privilegierten Mitarbeiters einzudringen, beispielsweise des Vorstandsvorsitzenden, des Leiters der Cybersicherheitsabteilung oder des Finanzvorstands. Das Ziel hängt von der Art der privilegierten Daten ab, auf die es der Angreifer abgesehen hat.

• Zu den häufig anvisierten Ports und Verwaltungsdiensten gehören die folgenden:
• Secure Shell (22/TCP)
• Telnet (23/TCP)
• File Transfer Protocol (21/TCP)
• Lightweight Directory Access Protocol (389/TCP)
• HTTP/HTTP Management Services (80/TCP and 443/TCP)
• Oracle (1521/TCP)
• MySQL (3306/TCP)

Die obigen Informationen stammen aus einem Eintrag über Passwort-Spraying aus dem Mitre ATT&CK Framework. Cloud-basierte Anwendungen mit föderierten Authentifizierungsprotokollen und Single Sign-On-Anwendungen sind ebenfalls häufige Ziele von Passwort-Spraying.

Auswirkungen von Passwort-Spraying-Angriffen

Passwort-Spraying-Angriffe haben das Potenzial, einer Organisation erheblichen finanziellen Schaden zuzufügen. Nicht alle Passwort-Spraying-Angriffe werden speziell zur Verursachung finanzieller Schäden eingesetzt. Sie können auch dazu verwendet werden, Finanzdaten zu stehlen und betrügerische Einkäufe zu tätigen. Sie können auch andere sensible Daten stehlen, beispielsweise Informationen darüber, wie firmeneigene Software entwickelt wird, und diese an Wettbewerber verkaufen.

Diese Angriffe können auch das Tagesgeschäft eines Unternehmens verlangsamen, da es Ressourcen aufwenden muss, um den Angriff zu stoppen und den Angreifer aus dem Netz zu vertreiben. Sie können auch dem Ruf schaden, wenn das Unternehmen seine Kunden und andere interessierte Parteien nicht ordnungsgemäß oder vollständig über den Angriff informiert. Dies kann sich auf das Vertrauen der Öffentlichkeit in ein Unternehmen auswirken.

Passwort-Spraying-Angriffe können auch das Einfallstor in ein geschütztes Netzwerk sein, das das Ziel anfällig für andere, potenziell schädlichere Cyberangriffe macht. So könnte ein Angreifer die durch Passwort-Spraying gewonnenen Informationen nutzen, um eine Phishing-Kampagne durchzuführen, indem er sich in E-Mails oder per SMS als das Opfer ausgibt.

Beispiele für Passwort-Spraying-Angriffe

Microsoft gab Anfang 2024 bekannt, dass Konten von Microsofts Rechtsabteilung, Führungskräften und Cybersicherheitsteams angegriffen wurden (siehe auch Microsoft: Angreifer hatten Zugriff auf Mitarbeiter-E-Mails). Microsoft schrieb den Angriff derselben Gruppe zu, die auch den SolarWinds-Angriff von 2020 durchgeführt hatte. Bei der Hackergruppe - Midnight Blizzard, früher Nobelium - handelt es sich um eine staatlich unterstützte russische Hackergruppe. Die Gruppe ist auch unter dem Namen Cozy Bear bekannt.

Microsoft gab bekannt, dass es Angreifern gelungen ist, ein altes Testkonto durch Passwort-Spraying zu kompromittieren. Von dort aus konnten die Hacker die Berechtigungen des Testkontos nutzen, um Zugriff auf die Konten der Microsoft-Führungskräfte zu erhalten. Microsoft teilte außerdem separat mit, dass dieselbe Tätergruppe in der Vergangenheit bereits mehrfach Passwort-Spraying eingesetzt hatte, um Anmeldedaten über Microsoft Teams-Chats zu stehlen.

Ein weiteres Beispiel stammt von dem vom iranischen Staat unterstützten Bedrohungsakteur Peach Sandstorm. Zwischen Februar und Juli 2023 führte Peach Sandstorm eine Flut von Cyberspionage-Angriffen gegen eine große Zahl globaler Ziele durch, um sich in den Zielumgebungen zu etablieren und Informationen zu sammeln. Das Sprühen von Passwörtern war eine zentrale Technik bei den Angriffen, die sich hauptsächlich auf Verteidigungs-, Satelliten- und Pharmaunternehmen konzentrierten. Laut einem Microsoft-Bericht wurden die Angriffe regelmäßig zwischen 9 und 17 Uhr iranischer Standardzeit von einer Tor-IP-Adresse aus gestartet.

Wie man Passwort-Spraying-Angriffe erkennt

Ein verräterisches Zeichen für einen Versuch, Passwörter auszuspionieren, sind regelmäßig fehlgeschlagene Anmeldeversuche bei mehreren Benutzerkonten. Authentifizierungsprotokolle zeigen dem Sicherheitsteam einer Organisation eine Aufzeichnung der fehlgeschlagenen Anmeldeversuche für Unternehmenskonten. Eine hohe Häufigkeit von Anmeldeaktivitäten innerhalb eines kurzen Zeitraums kann ebenfalls auf einen Passwort-Spraying-Angriff hindeuten. Anmeldungen von nicht existierenden, inaktiven oder veralteten Konten deuten ebenfalls auf einen potenziellen Passwort-Spraying-Angriff hin.

Wie man sich vor Passwort-Spraying-Angriffen schützt

Im Folgenden werden einige Methoden zur Verhinderung und Abwehr von Kennwort-Spraying-Angriffen beschrieben:

Führen Sie eine strenge Passwortrichtlinie ein. Zu einer guten Passwortrichtlinie gehört es, eine längere Zeichenfolge zu verwenden, Wörter aus dem Wörterbuch zu vermeiden und die Benutzer zu zwingen, ihr Standardpasswort bei der ersten Anmeldung am Konto zu ändern.

Login-Erkennung implementieren. Die Anmeldeerkennung zeichnet Informationen über die Anmeldeaktivitäten der Benutzer auf. Unternehmen sollten sich die Protokolldaten ansehen, um zu sehen, unter welchen Benutzernamen sie sich anmelden. Wenn ein Unternehmen feststellt, dass seine Benutzer versuchen, sich bei Systemen im Netzwerk anzumelden, mit denen sie noch nie verbunden waren, könnte dies ein Hinweis auf einen Passwort-Spraying-Angriff sein.

Legen Sie eine Sperrungsrichtlinie fest. Legen Sie einen Schwellenwert für die Sperrrichtlinie auf Domänenebene fest. Der Schwellenwert sollte niedrig genug sein, um mehrere unzulässige Authentifizierungsversuche zu verhindern, aber hoch genug, um legitimen Benutzern einen gewissen Spielraum für einfache Anmeldefehler zu geben. Die Sperrrichtlinie sollte auch einfache Verfahren zur Wiederherstellung des Zugangs zu Konten für rechtmäßige Benutzer enthalten.

Implementieren Sie ein CAPTCHA. Ein CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) kann helfen, das Ausspähen von Passwörtern zu verhindern, wenn eine strenge Sperre nicht möglich ist.

Verwenden Sie die Zwei-Faktor-Authentifizierung. Wenn Sie sicherstellen, dass die Zwei-Faktor-Authentifizierung für Konten aktiviert ist, können Sie diese Art von Angriffen verhindern und es Hackern erschweren, gestohlene Anmeldedaten zu nutzen – selbst, wenn diese legitim sind.

Verwenden Sie ein eindeutiges Format für den Benutzernamen. Leicht zu erratende Formate für Benutzernamen können einem Hacker helfen, seine Liste von Zielen mit wenig oder gar keinen Informationen über sie zusammenzustellen. Die Verwendung eines nicht standardisierten Formats gibt dem Hacker weniger Möglichkeiten, die Anmeldedaten eines Zielbenutzers zu erraten.

Passwort-Spraying vs. Brute-Force-Angriffe

Passwort-Spraying ist eine spezielle Form des Brute-Force-Angriffs. Beide Angriffsarten verwenden einen Versuch-und-Irrtum-Ansatz, um in das Konto eines Opfers einzubrechen. Der Unterschied besteht darin, dass beim Password-Spraying ein einziges Passwort verwendet wird, um mehrere Konten anzugreifen. Bei herkömmlichen Brute-Force-Angriffen werden viele verschiedene Kennwörter ausprobiert, um in ein einziges Konto einzubrechen. Brute-Force-Angriffe können nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zur Sperrung des Kontos führen. Bei Passwort-Spraying-Angriffen ist es wahrscheinlicher, dass diese Schwachstelle umgangen wird, da sie jeweils nur ein Passwort verwenden.