每擁有100萬的失竊憑證，黑客們可以使用Sentry MBA等類似工具大規(guī)模入侵目標網站上的賬戶。而根據Shape Security發(fā)布的2017憑證泄露報告，2016年共計有33億用戶憑證泄露。

 

憑證竊取是指攻擊者破壞系統(tǒng)、竊取用戶的訪問憑證（通常是ID和口令的組合）。其中ID往往是用戶的電子郵件地址。憑據泄露則意味著這些憑證被提供給了其他攻擊者。憑據填充（俗稱“撞庫”）則是大規(guī)模使用自動化測試來驗證被盜密碼是否能用于其他無關聯(lián)網站。

撞庫之所以可行，歸根結底是因為用戶往往在多個賬戶上使用同樣的幾組口令。這就導致一旦攻擊者獲取了一個賬戶的口令，他們也就有了很可能適用于其他賬戶的合法憑證。

想想2016年雅虎發(fā)生的兩次泄露事件，總共15億被脆弱的MD5加密算法保護的憑證泄漏到互聯(lián)網。發(fā)生在2012年、2013年的憑證盜竊，使攻擊者有四年時間來破解這種脆弱的保護。這類事件意味著罪犯已經儲備了大批合法的用戶憑證，而用戶的多賬號同口令現(xiàn)象意味著這些憑證大部分都已經被被用于其他賬戶。

Shape Security的報告指出：“憑證盜竊規(guī)模如此之大，而雅虎用戶又這么廣泛，這意味著過去幾年里這些被盜憑證助長了不計其數(shù)的網絡犯罪。”

使用被泄露口令進行簡易暴力測試是很容易被發(fā)現(xiàn)并阻止的，許多站點會嘗試阻斷同一IP對不同賬戶的多次登錄嘗試或同一賬戶的多次失敗登錄請求。

而“憑據填充”則很不一樣。 Shape Security 創(chuàng)始人蘇米特·阿加瓦爾在五角大樓擔任國防部長代理助手時發(fā)明了這個詞。這種攻擊手段結合了憑證源、Sentry MBA等工具和僵尸網絡的分工方式。 Sentry MBA周期性地通過僵尸網絡檢驗泄漏的憑證是否對目標網站有效。

因為僵尸網絡的每個IP每次只檢驗一個憑證，無論登錄嘗試是否成功，作為滲透目標的網站會將這其視為用戶的正常登錄嘗試。即使攻擊受到懷疑，Sentry MBA已經切到下一個僵尸網絡IP，完全不受到網站阻止可疑IP登錄等安全策略的影響。

Sentry MBA 提供了擊敗其他防御的各種技術手段，比如內置光學字符識別功能來對抗驗證碼。

Shape Security的數(shù)據表明，憑證填充的破解成功率為為0.1%~2%。這意味著攻擊者每嘗試100萬個被泄露的憑證，就可以發(fā)現(xiàn)平均1萬個因口令復用的而導致登陸信息泄露的賬戶。

 

憑據填充并不神秘，事實上，它正被廣泛的使用。舉例而言，根據Shape Security的報告，“攻擊者們鎖定了一個財富100強的B2C（企業(yè)對消費者）網站，并在一個星期內使用多組攻擊以及遍布世界各地的成千上萬個代理進行了超過五百萬次登錄嘗試。”另一個案例則是“有一天，一個大型零售網站發(fā)現(xiàn)了使用1000多個代理進行的超過10000登錄嘗試”。

雪上加霜的是，被竊取的憑證也并不難找。黑客們會為了找樂子或揚名立萬把憑證散播到網上。當黑客們在憑證黑市（比如Cracking-dot-org、 Crackingking-dot-org以及 Crackingseal-dot-io）做生意時，這些名聲會派上大用場。

上述種種只會導致一種結果：憑證填充簡易而且有效，而只要有一點起碼的技術底子，誰都可以使用它。憑證填充包含五步：

獲取被竊憑證；選擇目標；編寫一個自動腳本來辨別登錄嘗試是否成功；用一個可配置的憑證填充工具（比如Sentry MBA）來繞開網站的WAF或驗證碼；將賬戶和贓物收入囊中。

據Shape Security預測，由于2016年被泄露的33億（很可能有更多我們尚不知道的）憑證在網絡犯罪體系中廣泛傳播，憑證填充無疑會成為2017年的重大威脅。有一個簡單的辦法可以一勞永逸地解決問題：用戶在配置口令時絕不能與任一現(xiàn)有口令重復。而這一目標顯然超出企業(yè)和安全行業(yè)能力之外。因此，企業(yè)必須另尋佳徑來應對這一日益嚴重的威脅。