Sabrina - stock.adobe.com
So funktioniert Password Spraying und so schützt man sich
Cyberkriminelle setzen vermehrt auf Password Spraying, um an Kennwörter von Anwendern in Unternehmen zu gelangen. Wie laufen die Angriffe ab und wie kann man sich schützen?
Wenn es um das Hacken von Passwörtern geht, sind die meisten Unternehmen vor allem mit Brute-Force-Angriffen vertraut, bei denen Cyberkriminelle mit Hilfe von Computeralgorithmen Passwörter in Sekundenschnelle zehntausende Male ausprobieren, bis sie das richtige finden.
Mittlerweile setzen Angreifer jedoch mehr und mehr auf Password Spraying, da diese Taktik die Einstellungen zum Sperren von Anmeldeversuchen umgeht, die viele Systeme und Geräte inzwischen verwenden. Angreifer verwenden dabei gängige, nicht komplexe Passwörter und „sprühen“ sie über ein ganzes Unternehmen. Sie vertrauen dabei darauf, dass mindestens ein Benutzer etwas wie „abc123“, „Passwort“ oder ein anderes gängiges Passwort verwendet.
Password Spraying unterscheidet sich von Brute-Force-Angriffen dadurch, dass es nicht auf bestimmte Benutzer, Geräte oder Konten abzielt, sondern einen Massenansatz verfolgt. Der Angreifer beginnt in der Regel mit einem verbreiteten Passwort, von dem er hofft, dass es von einem Benutzer im Unternehmen verwendet wird. Wenn dieser erste Versuch erfolglos ist, geht der Hacker zu einem anderen Passwort über und führt einen weiteren Spraying-Versuch durch. Hierbei lässt er sich aber Zeit und vermeidet es, sich in kurzer Zeit mehrmals bei einem Konto anzumelden. Auf diese Weise soll eine Kontosperrung aufgrund einer übermäßigen Anzahl von Versuchen umgangen werden.
Sobald ein Angreifer auf diese Weise erfolgreich war, versucht er in aller Regel, auch Zugriff auf weitere Bereiche des Systems zu erhalten. So dringen Cyberkriminelle beispielsweise in das Cloud-Speicher eines Benutzers ein und suchen nach Passwörtern für andere Konten oder Administratorberechtigungen. Auch wenn die Passwort-Sprayer vielleicht keinen Zugang zu ihrem eigentlichen Ziel erhalten, schaffen sie es doch, einen Fuß in die Tür zu bekommen, um noch mehr bösartige Aktivitäten durchzuführen.
Ablauf eines Password-Spraying-Angriffs
In aller Regel erfolgen diese Password-Spraying-Attacken in drei Schritten:
Beschaffung einer Liste mit Benutzernamen: Die Beschaffung einer Liste mit User-Namen für ein Unternehmen ist oft einfacher, als man denkt. Die meisten Unternehmen haben eine standardisierte Konvention für E-Mails, die auch als Benutzernamen für Konten verwendet werden, wie zum Beispiel [email protected]. Mit einer Software lässt sich dann die Richtigkeit der vermeintlich existierenden User-Namen überprüfen. Alternativ können Benutzernamenlisten auch über das Dark Web erworben werden. Darüber hinaus sind die Benutzernamen und die dazugehörigen E-Mail-Adressen manchmal sogar auf der Website des Unternehmens oder in den Online-Profilen der Benutzer leicht zugänglich.
Passwörter „sprühen“: Aktuelle Listen der am häufigsten verwendeten Passwörter sind sehr einfach zu finden und werden in Fachmedien und sogar bei Wikipedia veröffentlicht. Ambitioniertere Cyberkriminelle achten dabei auf regionale Unterschiede. Dies bezieht sich nicht nur auf die Sprache, sondern kann etwa auch lokale Fußballmannschaften beinhalten. So könnten Ziele in Hamburg beispielsweise „HSV2022“ als Passwort verwenden. Nachdem sie das erste Passwort „gesprüht“ haben, warten die Angreifer mindestens 30 Minuten, bis sie das Nächste versuchen, um eine Blockierung zu vermeiden.
Zugang zu Konten und Systemen erlangen: In vielen Fällen funktioniert eines der gängigen Passwörter tatsächlich bei einem Konto im Unternehmen: Auch wenn 999 Mitarbeitende sichere Passwörter verwenden, reicht eben ein einziger mit einem schwachen Passwort damit dieser Angriff erfolgreich ist. Cyberkriminelle können diesen Zugang dann dazu nutzen, um interne Erkundungen durchzuführen, tiefere Netzwerke ins Visier zu nehmen oder Zugang zu anderen Konten mit erhöhten Berechtigungen zu erhalten.
Anzeichen für Password Spraying
Wie bei jedem Angriff gibt es auch beim Password Spraying einige Anzeichen, die auf eine entsprechende Attacke hinweisen. Diese gilt es zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten. Da Password Spraying zahlreiche Konten in einem Unternehmen auf einmal umfasst, ist eine hohe Anzahl von fehlgeschlagenen Anmeldeversuchen innerhalb einer kurzen Zeitspanne ein Anzeichen für eine entsprechende Attacke.
Auch kann eine hohe Anzahl gesperrter Accounts ein Hinweis sein: Zwar versuchen die Angreifer Sperrungen zu vermeiden, indem sie eine gewisse Zeit bis zum nächsten Anmeldeversuch eines Kontos verstreichen lassen. Ganz ausschließen lassen sich diese jedoch nicht. Schließlich können noch Anmeldungen von unbekannten oder ungültigen Nutzern ein Indikator sein. In aller Regel verfügen Cyberkriminelle nicht über eine vollständig korrekte Liste von Benutzeranmeldeinformationen. Oft raten sie oder haben möglicherweise eine veraltete Aufstellung erworben. Stellt man eine gewisse Anzahl an Zugangsversuchen von ehemaligen Mitarbeitenden oder ungültigen Kontonamen fest, handelt es sich wahrscheinlich um einen Password-Spraying-Angriff.
„Wie bei allen Angriffen gibt es auch vor Passwort-Spraying-Attacken keinen 100-prozentigen Schutz. Man kann aber sehr wohl die Hürden für Angreifer deutlich erhöhen.“
Michael Scheffler, Varonis Systems
Angriffe per Password Spraying verhindern
Erkennt man eines oder mehrere dieser Anzeichen, sollte man umgehend Gegenmaßnahmen einleiten, etwa unternehmensweit die Mitarbeitenden dazu anhalten, ihre Passwörter zu ändern (und dabei sicherere beziehungsweise komplexere zu verwenden). Password Spraying sollte auch als denkbares Szenario in einem Incident-Response-Plan (Vorfallreaktionsplan) aufgenommen werden. Um die Systeme vor Attacken dieser Art zu schützen, sollten zudem folgende drei Punkte umgesetzt werden.
- Aktivieren des Active-Directory-Kennwortschutzes: Viele Systeme, wie zum Beispiel Microsoft Azure, ermöglichen es den Administratoren, die Verwendung gängiger oder leicht zu erratender Kennwörter zu unterbinden (siehe auch Microsoft Azure AD: Erweiterter Schutz vor Password Spraying). Auf diese Weise laufen die meisten Password-Spraying-Angriffe ins Leere. Idealerweise ergänzt man die allgemeinen durch benutzerdefinierte Listen mit gängigen Passwörtern für die jeweilige Branche, das Unternehmen oder die Region. Bei einem Softwareunternehmen würde man beispielsweise Kennwörter wie „SteveJobs123“ verbieten.
- Durchführung von simulierten Angriffen und Penetrationstests: Unabhängig davon, ob man einen solchen Angriff selbst oder mit Hilfe eines Cybersecurity-Partners durchführt, lässt sich mit einem simulierten Passwort-Spraying-Angriff feststellen, wie anfällig die Passwortmaßnahmen des Unternehmens sind. Mit einer Angriffssimulationssoftware kann man beispielsweise eine Liste gängiger Kennwörter auswählen und einen Bericht darüber erstellen, wie viele Benutzer im Unternehmen über diese Kennwörter verfügen. Durch die Simulation von Spraying-Angriffen lassen sich auch verschiedene regions- oder branchenspezifische Kennwörter testen. Auf dieser Grundlage kann man dann entscheiden, welche davon in eine individuelle Verbotsliste aufgenommen werden sollten.
- Einführung eines passwortlosen Benutzerzugangs: Eine der sichersten Präventivmaßnahmen ist die vollständige Abschaffung von Passwörtern im Unternehmen. Dies bedeutet, dass Technologien wie biometrische oder stimmaktivierte Benutzerzugänge implementiert werden, die es Cyberkriminellen extrem schwer machen, sie zu stehlen, zu duplizieren oder sich damit anzumelden – zumindest momentan (denn auch hier machen Angreifer mit Deepfakes und Voice-Cloning bereits Fortschritte). Zumindest sollte man jedoch eine Multifaktor-Authentifizierung (MFA) aktivieren, damit ein Passwort allein nicht ausreicht, um Zugang zum System oder Gerät zu erhalten.
Fazit
Wie bei allen Angriffen gibt es auch vor Passwort-Spraying-Attacken keinen 100-prozentigen Schutz. Man kann aber mit ein paar gezielten Maßnahmen sehr wohl die Hürden für Angreifer deutlich erhöhen. Und man sollte auch immer für den Fall gewappnet sein, dass es Angreifer in die eigenen Systeme schaffen. So können durch die intelligente Analyse des Nutzerverhaltens auffällige Verhaltensweisen identifiziert sowie auf diese Weise Angriffe frühzeitig erkannt und automatisiert gestoppt werden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.