Brute-Force-Angriffe und wie man sie verhindert

Was ist ein Brute-Force-Angriff?

Brute-Force-Angriffe sind ein Mittel, um eine Kombination aus Benutzername und Passwort oder Hash-Token zu ermitteln, um unbefugten Zugriff auf ein Konto, eine Datei oder andere geschützte Informationen zu erhalten. Ein Brute-Force-Angriff ist eine Trial-and-Error-basierte Angriffsmethode, bei der Anmeldeinformationen, Dateipfade oder URLs entweder durch Logik oder durch Ausführen aller möglichen Tastaturkombinationen erraten werden.

Angreifer verwenden häufig Malware und andere Tools, um den Prozess von Brute-Force-Angriffen zu automatisieren, indem sie den Angriff entweder auf eine Vielzahl von Quellspeicherorten verteilen oder Malware nutzen, um geschützte interne Konten anzugreifen. Gängige Tools wie Hydra, Chaos, CrackMapExec und PoshC2 verfügen alle über Brute-Force-Funktionen.

Sobald der Zugriff erreicht ist, kann ein Angreifer Zugriff auf Finanzinformationen erhalten, Malware verbreiten oder Ihr System entführen. Es gibt einige Einstiegspunkte, die anfällig für Brute-Force-Angriffe sind:

SMB / CIFS Brute Force Attack

Server Message Block (SMB) und Common Internet File System (CIFS) sind Netzwerk-Dateifreigabeprotokolle, die am häufigsten von Windows verwendet werden. Beide können anfällig für Brute-Force-Angriffe sein. Sobald ein Angreifer Zugriff auf ein Benutzerkonto erhält, kann er auf Dateien zugreifen, sich seitlich bewegen oder versuchen, Berechtigungen zu eskalieren.

SSH Brute Force Attack

SSH oder Secure Shell ist ein Netzwerkprotokoll, das eine verschlüsselte Kommunikation über unsichere Netzwerke ermöglicht. SSH wird für Remote-Anmeldungen, Befehlsausführung, Dateiübertragung und mehr verwendet. SSH-Brute-Force-Angriffe werden häufig dadurch erreicht, dass ein Angreifer einen gemeinsamen Benutzernamen und ein gemeinsames Passwort auf Tausenden von Servern versucht, bis er eine Übereinstimmung findet.

DNS-Brute-Force-Angriff

Anstatt ein Passwort oder einen Benutzernamen zu erraten, können Brute-Force-Angriffe auf DNS alle Subdomains auf einer Site identifizieren. Angreifer verwenden Skripte und andere Tools, um legitim aussehende Abfragen zu senden. Der Angreifer kann dies verwenden, um verfügbare Subdomains, Hostnamen und DNS-Einträge abzubilden – alles mit dem Ziel, ein Netzwerk auf der Suche nach Schwachstellen abzubilden.

RDP Brute-Force-Angriff

Brute-Force-Angriffe auf RDP sind kostengünstig und relativ einfach durchzuführen. Obwohl diese Art von Brute-Force-Angriff laut ist, kann er aufgrund der Gemeinsamkeit schwacher und zweckentfremdeter Kennwörter sehr effektiv sein. Ein Angreifer kann einen Brute-Force-Angriff auf RDP-Konten durchführen, um schwache Kennwörter oder gültige Anmeldeinformationen zu finden. Sobald ein Angreifer auf Kennwörter oder gültige Anmeldeinformationen zugegriffen hat, kann er problemlos mehrere RDP-Sitzungen von einem einzigen Gerät aus öffnen, um viele Geräte im Netzwerk zu steuern.

Brute-Force- und andere Angriffe auf RDP wurden aufgrund der massiven Ausweitung von Work-from-Home aufgrund von COVID-19 zu einem schnell wachsenden Problem.