Обнаружение атак грубой силы с помощью Splunk

  1. Определение грубой силы
  2. Требования Splunk
  3. Источники данных
  4. Пример формата журнала веб-приложения (CA SiteMinder)
  5. Случаи применения
  6. Процент увеличения грубой силы
  7. Потенциально скомпрометированные счета грубой силы

В этом гостевом блоге Навид Краббе (старший консультант по оперативной разведке с Splunk Partner) Function1 ) исследует использование Splunk для обнаружения атак грубой силы. Являясь лидером в области оперативного интеллекта и промежуточного программного обеспечения, Function1 не только разработал базовую архитектуру для некоторых из крупнейших в мире развертываний Splunk, но и помог разработать стандарт управления корпоративным классом и передачи данных.

Одной из самых давних и наиболее распространенных проблем для групп информационной безопасности и веб-разработки является атака методом перебора Одной из самых давних и наиболее распространенных проблем для групп информационной безопасности и веб-разработки является атака методом перебора . Хотя эта форма атаки существует уже много лет, она остается одним из самых популярных и широко используемых методов взлома паролей. С точки зрения воздействия атаки методом перебора являются очень серьезной угрозой, способной повлиять на миллионы аккаунтов. Если эти атаки не будут своевременно обнаружены и устранены, они могут привести к краже интеллектуальной собственности и личной информации, значительным финансовым потерям и необратимому ущербу репутации бизнеса.

Давайте рассмотрим несколько вариантов использования для обнаружения перебора, которые можно легко создать с помощью Splunk.

Определение грубой силы

Атака методом "грубой силы" - это метод проб и ошибок, используемый для обнаружения пароля путем систематической проверки каждой возможной комбинации букв, цифр и символов, пока не будет найдена правильная комбинация. Различные типы автоматизированного программного обеспечения и инструментов взлома используются для генерации большого количества последовательных догадок. Некоторые атаки методом "грубой силы" используют словарные слова и списки общих паролей, чтобы повысить их успешность.

Требования Splunk

Единственное истинное требование - наличие необходимых данных (и правильное их анализ) в развертывании Splunk Enterprise. Эти варианты использования могут быть построены с использованием стандартного Splunk SPL и представлены в виде панелей мониторинга или сохранены в виде запланированных поисков, которые вызывают оповещения. Если ваша организация использует Splunk Enterprise Security, эти варианты использования будут отлично работать как поиск корреляции, который запускает заметные события.

Источники данных

Это, конечно, будет зависеть от конкретных целей использования вашей организации и используемых технологий и приложений. В общем, журналы веб-приложений - хорошее место для начала. В частности, эти журналы должны включать все события, связанные с аутентификацией, для вашего веб-сайта / веб-приложений. Как минимум, они должны содержать метку времени, исходный IP-адрес, учетную запись пользователя, тип события аутентификации и результат. Кроме того, наличие канала (веб-или мобильного) и информации об устройстве (cookie или идентификатор оборудования) может предоставить дополнительную информацию для отчетности.

Пример формата журнала веб-приложения (CA SiteMinder)

[categoryid] [AuthType] [причина] [имя хоста] [метка времени] [имя агента] [sessionid] [идентификатор пользователя, ou1, ou2, dc1, dc2] [имя домена] [имя_режима] [имя_режима] [номер_режима] [ресурс] [действие] [authdirname] [authdirserver] [authdirnamespace] [TransactionID] [statusmsg] [имя_домена] [impersonatorname] [impersonatordirname] [ObjName] [objoid] [fielddesc]

[Auth] [AuthReject] [] [host.abcd.org] [11 / Apr / 2017: 09: 47: 31 -0400] [signonagent] [asdf] [uid = abcd-efgh-1234-5678, ou = клиенты , ou = people, dc = abcd, dc = org] [99-88a-77b-66c] [abcd] [00-11z-22x-33y] [12.345.67.89] [/ abcd /] [GET] [abcd Войти Каталог] [ldap1.abcd.org:9800] [LDAP:] [] [] [ABCD] [] [] [] [] []

Случаи применения

Обнаружен брутфорс IP

Этот вариант использования предназначен для обнаружения исходных IP-адресов, которые превышают высокий порог отклоненных и / или недействительных имен входа.

1. index = web_idx sourcetype = web_st (AuthType = "AuthInvalid" ИЛИ AuthType = "AuthReject" ИЛИ AuthType = "AuthAccept ИЛИ AuthType =" AuthChallenge "ИЛИ AuthType =" Lockout ") 2. | Статистика считается как счетчик итоговых подсчетов (eval ( == "AuthInvalid")) в качестве значения invalid_count (eval (AuthType == "AuthReject")) в качестве значения reject_count (eval (AuthType == "AuthAccept")) в качестве счетчика accept_count (eval (AuthType == "AuthChallenge")) в качестве count_count count (eval (AuthType == «Lockout»)) как lockout_count по client_ip 3. | eval invalid_thresh = 4. | eval reject_thresh = 5. | где invalid_count> invalid_thresh ИЛИ reject_count> reject_thresh 6. | evalcent_denied = round (((reject_count + попытки_count) / total_count) * 100, 2) 7. | сортировка 0 - итого_счет процентов_день 8. | переименуйте client_ip как «IP-адрес клиента», total_count как «Total Count», invalid_count как «Попытки неверного имени пользователя», reject_count как «Попытки действительного имени пользователя / неверного пароля», accept_count как «Успешные входы в систему», account_count как «Количество вызовов», lockout_count как «Заблокированные попытки», процент_отклонено как «Процент отклонен»

Процент увеличения грубой силы

В этом сценарии использования обнаруживаются большие проценты увеличения в различных статистических данных о грубой силе за разные периоды времени (последние 30 минут по сравнению с 30-минутным периодом 6 часов назад).

1. index = web_idx sourcetype = web_st (AuthType = "AuthInvalid" ИЛИ AuthType = "AuthReject" ИЛИ AuthType = "Блокировка") самое раннее = -30m @ m самое последнее = @ m 2. | статистика считается как счетчик total_fail_count (eval (AuthType == "AuthInvalid")) как счетчик invalid_count (eval (AuthType == "AuthReject")) как счетчик reject_count (eval (AuthType == «Lockout»)) как самая ранняя блокировка_счета (_time) как самое раннее_ время самое позднее (_time) как самое последнее_ время 3. | convert timeformat = "% Y-% m-% d% T" ctime (earliest_time) AS earliest_time 4. | convert timeformat = "% Y-% m-% d% T" ctime (latest_time) AS latest_time 5. | приложения 6. [индекс поиска = web_idx sourcetype = web_st (AuthType = "AuthInvalid" ИЛИ AuthType = "AuthReject" ИЛИ AuthType = "Lockout") самое раннее = -390 м @ м последний = -360 м @ m 7. | статистика учитывается как 6h_total_fail_count count (eval (AuthType == "AuthInvalid")) как 6h_invalid_count count (eval (AuthType == "AuthReject")) как 6h_reject_count count (eval (AuthType == «Lockout_lock as_houtout»)) самое раннее (_time) как 6h_earliest_time самое позднее (_time) как 6h_latest_time 8. | время преобразования = "% Y-% m-% d% T" ctime (6h_earliest_time) AS 6h_earliest_time 9. | время преобразования = "% Y-% m-% d% T" ctime (6h_latest_time) AS 6h_latest_time] 10. | eval pct_total_fail_increase = round (((total_fail_count - 6h_total_fail_count) / 6h_total_fail_count) * 100,0) 11. | eval pct_invalid_attempt_increase = round (((invalid_attempt_count - 6h_invalid_attempt_count) / 6h_invalid_attempt_count) * 100,0) 12. | eval pct_lockout_increase = round (((lockout_count - 6h_lockout_count) / 6h_lockout_count) * 100,0) 13. | eval pct_reject_increase = round (((reject_count - 6h_reject_count) / 6h_reject_count) * 100,0) 14. | Таблица: eval total_fail_thresh = 16. | eval perc_inc_thresh = 17. | где (total_fail_count> total_fail_thresh) И ((pct_total_fail_increase> perc_inc_thresh) ИЛИ (pct_invalid_attempt_increase> perc_inc_thresh) ИЛИ (pct_lockout_increase> perc_inc_thresh))

Потенциально скомпрометированные счета грубой силы

В этом сценарии использования обнаруживаются учетные записи, которые демонстрируют грубое поведение (большое количество неудачных входов в систему с одним успешным входом в систему).

1. index = web_idx sourcetype = web_st (AuthType = "AuthReject" ИЛИ AuthType = "Блокировка" ИЛИ AuthType = "AuthAccept") 2. | Статистика учитывается как счетчик total_count (eval (AuthType == "Lockout")) как счетчик lockout_count (eval (AuthType == "AuthReject")) как счетчик reject_count (eval (AuthType == "AuthAccept")) в виде accept_count dc (client_ip) как count_ips по идентификатору пользователя 3. | eval total_denied = lockout_count + reject_count 4. | eval denied_thresh = 5. | поиск accept_count> 0 AND total_denied> denied_thresh 6. | evalcent_denied = round ((total_denied / total_count) * 100, 2) 7. | Таблица идентификаторов пользователей. сортировка 0 - процент_данных

Мы рассмотрели лишь несколько видов поиска, которые могут быть созданы в Splunk для обнаружения перебора. Splunk позволяет организациям достичь спокойствия и избежать дорогостоящих нарушений безопасности. По любым техническим вопросам об этом блоге или чтобы узнать больше об использовании Splunk для расширенного обнаружения угроз, не стесняйтесь обращаться к нам по адресу info@function1.com ,

Удачи!
Навид Краббе
Старший консультант, Оперативная разведка
Function1
@ Function1Corp

Похожие

Что такое атака грубой силы?
... силы) - это эквивалент кибератаки, когда вы пытаетесь найти каждый ключ на вашем кольце для ключей и в конечном итоге найти правильный. 5% подтвержденных случаев нарушения данных в 2017 году произошли атаки грубой силы. Атаки грубой силы просто и надежно , Злоумышленники позволяют компьютеру выполнять свою работу - например, пробуя
Объяснение атак грубой силы: как уязвимо все шифрование
Атаки грубой силой довольно просты для понимания, но от них трудно защититься. Шифрование - это математика и по мере того, как компьютеры становятся быстрее в математике, они быстрее пробуют все решения
Атаки грубой силы: помимо основ пароля
Таким образом, у вас есть надежный пароль. Этого достаточно? Психология создания пароля предполагает, что мы не обязательно защищены от атак грубой силы. « Эвристическое грубое принуждение предоставляет хакерам возможность взломать длинные и сложные пароли, используя взлом паролей в стиле грубой силы, не тратя впустую годы, пробуя нереальные пароли », - говорит Брэндон Смит, выступая в роли
Инструмент грубой силы IP-Box взламывает любой пароль iPhone
Снова пароли. Всегда пароли. Пару недель назад я упомянул новая фишинговая афера нацелены на владельцев потерянных или украденных устройств Apple. Теперь появляется новая причина для повышения безопасности - или модернизации. Инструмент IP-Box, ваш онлайн по цене около 170 фунтов стерлингов, взломает четырехзначный код доступа на любом
Уровень применения DDoS «Beyond Brute Force»
В наши дни кажется, что DDoS все больше и больше приближается к тому, что известно как «уровень приложений DDos». В то время как DDoS сетевого уровня состоит из бессмысленных пакетов (таких как поддельные ICMP-пакеты или поток пакетов SYN TCP), которые не предназначены для выполнения какой-либо значимой транзакции, DDoS прикладного уровня состоит из реальных запросов на обслуживание, и это именно то, что делает это так проблематично. Преодоление атаки на сетевом уровне, как правило, заключается
Защитите Apache от атак грубой силы или DDoS с помощью модулей Mod_Security и Mod_evasive.
Для тех из вас, кто занимается хостингом, или если вы размещаете свои собственные серверы и открываете их для Интернета, защита ваших систем от злоумышленников должна быть первоочередной задачей. mod_security ( механизм обнаружения и предотвращения вторжений с открытым исходным кодом для веб-приложений, который легко интегрируется с веб-сервером) и mod_evasive - два очень важных инструмента, которые можно использовать для защиты веб-сервера от перебора или (D) DoS-атак.
Тестирование на перебор (OWASP-AT-004)
Руководство по тестированию OWASP v3 Содержание Эта статья является частью Руководства по тестированию OWASP v3. Полное руководство по тестированию OWASP v3 можно загрузить Вот , OWASP в настоящее время работает над Руководством по тестированию OWASP v4: вы можете просмотреть Руководство
OAT-007 Взлом учетных данных
Это автоматизированная угроза. Для просмотра всех автоматических угроз, пожалуйста, см. Категория автоматической угрозы стр. Руководство по автоматизированной угрозе OWASP - ср. Приложения ( PDF , печать), вывод Проект OWASP «Автоматические
Запустите грубую атаку WordPress с помощью WPScan
Как администратор сайта WordPress вы несете ответственность за безопасность вашего сайта. Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи? Все ли они используют надежный пароль? Обычно пользователи не любят надежные пароли, и единственный способ убедиться, что они используют надежные пароли, - это
Как автоматически повторить видео на YouTube с помощью простых шагов
Привет, ребята, большинство людей любят серфить в Интернете много раз в течение дня. Они любят использовать смартфон или настольный ПК или ноутбук для серфинга в интернете. Большинству людей нравится искать различные темы, руководства, советы и рекомендации, загружать программное обеспечение, аудио, видео и многое другое. Сегодня мы должны обсудить, как автоматически повторять видео с YouTube во время серфинга в Интернете. YouTube - это бесплатный веб-сайт для обмена видео, который позволяет
Как получить доступ к мобильным сайтам с помощью браузера на рабочем столе
Многие веб-сайты предлагают специальные интерфейсы для смартфонов, iPad и других мобильных устройств. Если вам нужно протестировать мобильные веб-сайты или вам просто интересно посмотреть, как они выглядят, вы можете получить к ним доступ в браузере своего компьютера.

Комментарии

Готовы опередить атаки грубой силы?
Готовы опередить атаки грубой силы? Получить 1: 1 демо чтобы узнать, как Varonis обнаруживает атаки, чтобы вы могли их остановить.
Так что же может объяснить ложные утверждения о нападениях грубой силы?
Так что же может объяснить ложные утверждения о нападениях грубой силы? Одно из объяснений состоит в том, что эти охранные компании не имеют представления об основах безопасности, например, знают, что такое атака методом подбора. Учитывая, что вам не нужно смотреть на какой-то неясный ресурс, чтобы узнать, что они собой представляют, вы просто нужно идти в википедию Нет никаких оправданий для этого. Другое
Не могли бы вы потенциально добраться до верхней части первой страницы?
Не могли бы вы потенциально добраться до верхней части первой страницы? Если вы выберете родовое имя, вам будет очень тяжело ранжироваться. Также важно проверить наличие Twitter, Facebook и других социальных сетей, которые вы хотите использовать. 6. Найти новое вдохновение Если вам не хватает идей для фирменных наименований, вы можете подумать о себе. Может быть, вы ищете название компании, которая имеет ностальгию или говорит о тенденции. Другие языки тоже

Этого достаточно?
Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи?
Все ли они используют надежный пароль?
Готовы опередить атаки грубой силы?
Так что же может объяснить ложные утверждения о нападениях грубой силы?
Так что же может объяснить ложные утверждения о нападениях грубой силы?
Не могли бы вы потенциально добраться до верхней части первой страницы?