Attacchi di forza bruta e come prevenirli

Che cos’è un attacco di forza bruta?

Gli attacchi di forza bruta sono un mezzo per determinare una combinazione di nome utente e password o token hash al fine di ottenere l’accesso non autorizzato a un account, file o altre informazioni protette. Un attacco di forza bruta è un metodo di attacco basato su tentativi ed errori che funziona indovinando credenziali, percorsi di file o URL, tramite logica o eseguendo tutte le possibili combinazioni di tastiera.

Gli aggressori spesso utilizzano malware e altri strumenti per automatizzare il processo di attacchi di forza bruta distribuendo l’attacco su una varietà di posizioni di origine o sfruttando malware per attaccare account interni protetti. Strumenti comuni come Hydra, Chaos, CrackMapExec e PoshC2 hanno tutte funzioni di forza bruta.

Una volta raggiunto l’accesso, un utente malintenzionato potrebbe accedere a informazioni finanziarie, diffondere malware o dirottare il sistema. Ci sono alcuni punti di ingresso che sono vulnerabili agli attacchi di forza bruta:

SMB/CIFS Brute Force Attack

Server Message block (SMB) e common Internet file system (CIFS) sono protocolli di condivisione file di rete più comunemente utilizzati da Windows. Entrambi possono essere vulnerabili agli attacchi di forza bruta. Una volta che un utente malintenzionato ottiene l’accesso a un account utente, può accedere ai file, spostarsi lateralmente o tentare di aumentare i privilegi.

SSH Brute Force Attack

SSH o Secure Shell è un protocollo di rete che consente la comunicazione crittografata attraverso reti non sicure. SSH viene utilizzato per gli accessi remoti, l’esecuzione dei comandi, il trasferimento di file, e altro ancora. Gli attacchi di forza bruta SSH sono spesso raggiunti da un utente malintenzionato che tenta un nome utente e una password comuni su migliaia di server fino a trovare una corrispondenza.

DNS Brute Force Attack

Invece di indovinare una password o un nome utente, gli attacchi brute force su DNS possono identificare tutti i sottodomini di un sito. Gli aggressori utilizzano script e altri strumenti per inviare query dall’aspetto legittimo. L’utente malintenzionato può utilizzare questo per mappare sottodomini disponibili, nomi host e record DNS, il tutto con l’obiettivo di mappare una rete alla ricerca di vulnerabilità.

RDP Brute Force Attack

Gli attacchi di forza bruta su RDP sono a basso costo e relativamente facili da eseguire. Anche se questo tipo di attacco di forza bruta è rumoroso, può essere altamente efficace a causa della comunanza di password deboli e riproposte. Un utente malintenzionato potrebbe eseguire un attacco di forza bruta sugli account RDP per trovare password deboli o credenziali di accesso valide. Una volta che un utente malintenzionato ha accesso a password o credenziali di accesso valide, può facilmente aprire più sessioni RDP da un singolo dispositivo per controllare molti dispositivi sulla rete.

La forza bruta e altri attacchi contro RDP sono diventati una preoccupazione in rapida crescita a causa della massiccia espansione del lavoro da casa a causa della COVID-19.