服务热线

020-38921330

手机站
新闻中心行业新闻 技术交流
首页 > 新闻资讯 > 行业新闻

风控前置-“动态安全”|防范撞库和拖库攻击风险

2022-7-1 0:00:00浏览量:1415编辑:管理员来源:天畅

全球各地各产业对外数据泄露事件频传,我们必须意识到,攻击者目前手中持有的数据信息比以往任何时候都多,身份证、手机号、银行卡号等都可以成为攻击者的武器。据统计,全球中大型网站目前每分钟遭受超过7,000次账户尝试登录攻击,造成每年高达160亿美元的线上诈骗损失,并且这一数字在未来5年内有机会超过480亿美元。


2022年6月21日消息

近日网络上突然流出一张截图,并在各大平台被迅速大范围传播,截图显示:“卖学习通数据”,“共 1 亿 7273 万条”,“含密码 1076 万”,“1.2 万人民币”。

随后,更是有不少网友纷纷晒出疑似各大高校发布关于学习通数据库泄露的相关通知。通知显示:接教育网重要通知,超星学习通已确认被拖库,确认泄露的数据包含机构名、学校、学号、手机号、性别、密码、邮箱等信息177273万条。涉及全国大量高校,应急安全响应为A级。如果您其他系统密码与超星学习通密码一致,请尽快修改为新密码,严防撞库对自己产生更大危害,谨防诈骗。


有媒体报道,疑似此次学习通数据库泄露涉及的学校数量众多,不仅包括全国各地的高等院校,还涉及多个幼儿园、中小学等教育机构。据悉,拖库也被认为是该软件内部服务器上保存的用户信息被人打包下载,然后去与用户其他系统的账号“撞库”,即一个一个尝试姓名密码组合,直到破解对方其他账号的密码。



早在2011年,就有多家互联网站被黑客公开用户数据库,超过5000万个用户帐号和密码在网上流传。2011年12月21日,某专业网站数据库开始在网上被疯狂转发,包括600余万个明文的注册邮箱和密码泄露,大批受影响用户为此连夜修改密码。此后,178游戏网等5家网站用户数据库又相继公开,更有媒体曝光金山毒霸等数十家大型网站已遭黑客“拖库”,从而将2011年末的密码危机推向高峰。

2015年10月17日,有微博用户发文称,网易邮箱被暴力破解,网易随后在官方微博上做出回应,称此系“撞库”所致,即黑客通过收集互联网中已泄露的用户和密码信息,尝试批量登录其他网站。19日下午,网站安全漏洞发现者乌云平台用户“路人甲”发布了《网易163/126邮箱过亿数据泄密》,报告称,泄露信息包括用户名、密码、密码保护信息、登录IP以及用户生日等多个原始信息,影响数量总共近5亿条。



必须承认,频繁的数据外泄事件之后,特别是酒店、商旅、票务等与个人生活、出行息息相关的应用中的身份信息的大规模泄露事件,我们的身份信息遭暴露、被贩卖,并且极易受到进一步的攻击。但对于网络罪犯而言,假冒合法身份、建立虚假账号却变得前所未有的简单。结合自动化脚本或工具,网络罪犯可以轻松利用被曝光的包括登录名/密码组合在内的个人数据,在短时间内对数百个不同的网站不断进行登录验证,试图盗用账号,乃至发起进一步攻击并从中获利或者获取更多的个人身份关联信息等有价数据。这类从海量易察觉攻击,转向由专业化自动工具发起的“低频率多IP源”的隐形逃避检测的撞库攻击给企业机构的安全应对带来很多难题。



以撞库、爬虫为例,黑客利用Bot机器人进行攻击,通过变换自身IP+降低频率来达到攻击的效果。一旦攻击成功,轻则导致敏感数据的丢失,重则导致业务系统的整体瘫痪。由于攻击者不断变换自身IP并且降低攻击频率,传统安全设备很难依靠限频、封IP的方式进行有效拦截和防护。

有分析显示,某行业客户业务的sso单点登录系统,在被保护的750万请求中,撞库请求比例高达86%,仅14%为正常的用户登录行为,其中,撞库请求一半以上是通过更换代理IP,或WebDriver、PhantomJS等高级浏览器模拟工具,甚至结合云打码平台,进行验证码绕过,传统安全设备很难有效防护。



拖库

它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”。

拖库的步骤通常为:  

1、黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。

2、通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后门获取服务器操作系统的权限。

3、利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。

撞库

黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列密码组合后可以登录的用户。黑客首先会通过收集互联网已泄露的用户和密码信息,生成对应的字典表,然后再用字典中罗列的用户和密码,尝试批量登陆其他网站。如果用户图省事在多个网站设置了同样的用户名和密码,黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址、支付宝、网银信息等。



我们应该如何应对?
PROTECT


数据拥有者在数据存储方案设计之初,既要考虑重要数据存储的安全,也要考虑数据库访问的安全。不依靠限频的防护方式,而通过AI人机识别技术,针对攻击方式而非频率,才能有效阻止多源低频攻击。




01
动态安全防范策略
Dynamic security policies
动态安全主要通过下面四个途径实现:
1

在发起访问请求时对网页底层代码的动态加密封装,每次采用不同的封装算法,对试图扫描漏洞的攻击者隐藏攻击入口;

2

通过对个人PC和移动设备的指纹采集,以及对主流浏览器(IE8-IE11、Chrome、Firefox、Safari等)的属性和环境变量进行超过16万种组合的随机抽取,来验证客户端的合法性,识别bots并提升攻击者使用自动化工具冒充合法客户端的难度;

3

在交易过程中,使用一次性的混淆算法与密钥组合,对终端请求内容(cookie、url、表单等数据)进行动态混淆加密,以防止SQL注入、通过中间人攻击进行的请求伪造或窃听/篡改交易内容;

4

对通过上述三点判断为合法请求的访问发放一次性令牌,通过对动态令牌合法性的校验,来保障业务逻辑的正确运行,防止薅羊毛、刷单等业务欺诈行为,以及撞库、越权访问、重放攻击、应用层DDoS等攻击。通过令牌机制、指纹溯源的手段,对多源低频攻击做关联性的识别分析,只要做到基于设备指纹的攻击识别,攻击者无论怎么换IP,都无法逃脱。



02
技术优势
Technical advantages

1、主动防御

不基于任何特征、规则及阈值的方式进行防护,改善了传统依赖特征库、规则和阈值机制的局限;


2、全面防护

大幅降低特征库维护工作量,以及升级不及时造成的安全风险;


3、轻量管理

易部署,无需修改任何应用服务器代码,无需安装客户端软件;


4、威胁透视

威胁透视,独特和细粒度的机器人行为透视,准确定位攻击。通过机器人威胁清洗提供优质有效的威胁数据。



针对愈演愈烈的Bot机器人攻击,基于规则匹配的传统防护手段很难进行有效拦截和防护。动态安全技术可以在不基于规则匹配情况下对Web 漏洞的探测攻击、0-day探测进行有效阻断,防范于攻击之前。同时,对无明显恶意特征的模拟操作行为的Bot自动化攻击能有效甄别,实时拦截,无惧Bot工具手法的变化,有效阻止拖库,撞库攻击。



动态安全技术具备更高效、更全面的主动防护能力,在提供传统Web安全防御能力的同时,更能将威胁提前止于攻击的漏洞探测和踩点阶段,轻松应对新兴和快速变化的Bots攻击、0day攻击和应用DDoS攻击,帮助用户打造覆盖Web、APP、云和API资产等应用风控前置的主动防护体系。




上一篇:风控前置-“动态安全”|防范社工钓鱼攻击风险

下一篇:风控前置-“动态安全”|0day漏洞应急管理

快分享给好友吧!0