ABOUT
ハッカーが標的に侵入することが出来たら、まずパスワードファイル(パスワードハッシュ)を入手して、
パスワードを解析します。
もしくは、入手したパスワードハッシュを使って、Pass the hash攻撃を行います。
パスワードクラックと、Pass the hashの流れを抑えて、管理策に繋げましょう。
DETAIL
パスワードクラックの手法
オンラインパスワードクラック
ネットワークを介してログインを試みる手法
最近は、よく使われるパスワードをいくつか選定して、それを全てのアカウントで使えるかを試みる傾向にあります。
こうすることで、ユーザロックと、アクセス失敗ログを大量に生成することを回避します。
ツール:
THC Hydra
Medusa
オフラインパスワードクラック
標的のパスワードファイルを入手し、それを攻撃者のローカル環境で解読する手法
代表的なパスワードファイルは、
Windows系: %systemroot%\system32\config\SAM
Linux系: /etc/shadow
Metasploitのpassdumpを使って入手するなど、入手方法は多岐にわたります。
ツール:
John the Ripper
Cain
代表的な解析手法
デフォルトパスワード攻撃
OS・ソフトウエア・ネットワーク機器などのデフォルトパスワードを試す攻撃手法
Phenoelit-us
http://www.phenoelit-us.org/dpl/dpl.html
Big bertha says
http://www.defaultpassword.com
Cirt.net
http://www.cirt.net/passwords
辞書攻撃
パスワードによく使われる文字列を収録したファイル内の文字列を用いて解析を試みる攻撃の手法
Openwall
http://www.openwall.com/wordlists/
レインボー攻撃
パスワードファイル内のハッシュ値とレインボーテーブル(ハッシュ値と平文の対応表)を照らし合わせ、解析を試みる手法
List of Rainbow Table
http://project-rainbowcrack.com/table.htm
Ophcrack
http://ophcrack.sourceforge.net/tables.php
Free Rainbow Table
http://www.freerainbowtables.com
パスワードリスト攻撃
事前に入手したユーザID・パスワードのリストを用いて攻撃する手法
同じID・パスワードを複数で使いまわすことは、この攻撃のリスクにさらされます。
総当たり攻撃(ブルートフォース攻撃, Bruteforce attack)
すべての文字を順に試して攻撃する手法
この攻撃を始める前に、前述のような効率的な手法があるため最後の手段
対策
-
推測困難なパスワードを設定する
-
定期的に更新する
-
同じパスワードを複数のシステムで使いまわさない
-
システム側でパスワードポリシーを実装する
-
認証ログを監視し、大量のログイン失敗履歴などを見つけた場合はオンラインパスワードクラックを警戒する
(単に件数だけではなく、失敗したユーザ数もアラートの対象にする)
-
IPS/IDSのログを監視しオンラインパスワードクラックを検知する