Ein Brute-Force-Angriff (auch als Brute-Force-Cracking bezeichnet) ist unter den Cyberangriffen das Äquivalent zu dem Versuch, alle Schlüssel an einem Schlüsselring auszuprobieren und letztlich den richtigen zu finden. 5 % aller bestätigten Datenschutzverletzungen im Jahr 2017 basierten auf Brute-Force-Angriffen.
Brute-Force-Angriffe sind einfach und „zuverlässig“. Die Angreifer lassen einen Computer die Arbeit verrichten – zum Beispiel unterschiedliche Kombinationen aus Benutzernamen und Passwörtern auszuprobieren – bis er eine funktionierende Kombination findet. Einen laufenden Brute-Force-Angriff abzufangen und zu neutralisieren ist das beste Gegenmittel: Wenn ein Angreifer erst einmal Zugang zum Netzwerk erlangt hat, ist er viel schwerer zu fangen.
Die einfachste Form eines Brute-Force-Angriffs ist ein Wörterbuch-Angriff, bei dem der Angreifer sich durch ein Wörterbuch möglicher Passwörter arbeitet und alle ausprobiert. Wörterbuch-Angriffe beginnen, mit einigen Annahmen, bei üblichen Passwörter, die aus der Liste eines Wörterbuchs erraten werden sollen. Diese Angriffe sind tendenziell etwas veraltet, weil es neuere und effektivere Techniken gibt.
Aktuelle Computer, die in den letzten 10 Jahre hergestellt worden sind, können mit Brute Force ein achtstelliges alphanumerisches Passwort – mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – in etwa zwei Stunden cracken. Computer sind so schnell, dass sie mit Bruce Force einen schwachen Verschlüsselungs-Hash in wenigen Monaten entschlüsseln können. Diese Arten von Brute-Force-Angriffen werden als Exhaustive Key Search bezeichnet, bei denen der Computer jede mögliche Kombination aus allen möglichen Zeichen ausprobiert, um die richtige Kombination zu finden.
Das Recycling von Anmeldeinformationen ist eine andere Art des Brute-Force-Angriffs, bei dem Benutzernamen und Passwörter aus anderen Datenschutzverletzungen für den Versuch genutzt werden, in andere Systeme einzubrechen.
Der umgekehrte Brute-Force-Angriff verwendet ein übliches Passwort wie „Passwort“ und versucht dann, über Brute Force einen Benutzernamen zu diesem Passwort zu finden. Weil „Passwort“ zu den am weitesten verbreiteten Passwörtern auch im Jahr 2017 (!) zählte, ist diese Technik erfolgreicher, als man annehmen könnte.
Brute-Force-Angriffe finden in den Frühphasen der Cyber-Kill-Chain statt, üblicherweise während der Auskundschaftung und Infiltration. Angreifer benötigen einen Zugang oder Eingangspunkt für ihr Ziel, und Brute-Force-Techniken bieten dafür eine Methode, die nach dem Start nur wenig Aufwand erfordert. Sobald die Angreifer Zugang zum Netzwerk erlangt haben, können Sie mit Brute-Force-Techniken ihre Berechtigungen erweitern oder Angriffe zur Verschlüsselungsabwertung laufen lassen.
Angreifer verwenden Brute-Force-Angriffe auch für die Suche nach verborgenen Webseiten. Verborgene Webseiten sind Webseiten, die zwar live im Internet stehen, aber mit keinen anderen Seiten verlinkt sind. Mit einem Brute-Force-Angriff werden unterschiedliche Adressen ausprobiert, um eine gültige Webseite zu finden, die sich für einen Exploit nutzen lassen könnte. Dinge, etwa eine Software-Sicherheitslücke im Code, die zur Infiltration ausgenutzt werden könnten– oder eine Webpage, die für jedermann offen zugängliche Benutzernamen und Passwörter enthält.
Mit einem Brute-Force-Angriff ist nur wenig Finesse verbunden, so dass Angreifer automatisch mehrere Angriffe parallel laufen lassen können, um ihre Chance auf ein (für sie) positives Ergebnis zu vergrößern.
Ein Brute-Force-Angriff braucht Zeit. Einige Angriffe können Wochen oder Monate dauern, bis sie etwas Brauchbares liefern. Die meisten Abwehrmechanismen gegen Brute-Force-Angriffe sind mit einer Verlängerung der für einen Erfolg erforderlichen Zeit über technisch realisierbare Spannen hinaus verbunden. Diese Methode ist aber nicht die einzige Verteidigungsmöglichkeit.
Der aktive Weg, Brute-Force-Angriffen zu stoppen, beginnt mit Überwachung. Varonis überwacht Aktivitäten im Active Directory und VPN-Verkehr, um laufende Brute-Force-Angriffe zu erkennen. Wir haben Bedrohungsmodelle, die das Sperrverhalten überwachen (das häufig ein Anzeichen für einen aktuellen Brute-Force-Angriff bietet), Bedrohungsmodelle zur Erkennung potenzieller Credential-Stuffing-Versuche und weitere – die alle darauf ausgelegt sind, Brute-Force-Angriffe zu erkennen und zu beenden, bevor der Angriff eskalieren kann.
Es ist besser, einen laufenden Angriff zu erkennen und aktiv zu beenden, als darauf zu hoffen, dass Passwörter nicht zu überwinden sind. Sobald Sie den Angriff entdeckt und gestoppt haben, können Sie sogar IP-Adressen auf eine schwarze Liste setzen, um weitere Angriffe von demselben Computer zu verhindern.
Sind Sie bereit, Brute-Force-Angriffen vorzubeugen? Sichern Sie sich eine 1:1-Demo, um zu erfahren, wie Varonis Angriffe erkennt, damit Sie Angreifer in Zukunft aktiv stoppen können.