So umgehen Credential-Stuffing-Bots Abwehrmaßnahmen
5. November 2020
Die meisten IT-Vorfälle werden durch Angriffe auf Zugangskontrollen verursacht. Die Gefahr steigt durch bösartige Bots, die sogar aktuelle Abwehrmaßnahmen umgehen. Daher benötigen Unternehmen neue Security-Mechanismen.
Nicht autorisierte Logins sind eine ständige, erhebliche Gefahr für Unternehmen. So ergab der 2019 Application Protection Report von F5 Labs, dass die meisten Sicherheitsverstöße (51,8 Prozent) im Jahr 2019 durch Angriffe auf Zugangskontrollen verursacht wurden. Die Attacken basieren auf gestohlenen Anmeldeinformationen, die durch Phishing und Brute-Force-Attacken erlangt wurden. Aber auch gestohlene Anmeldedaten aus anderen Quellen kommen häufig bei solchen Credential-Stuffing-Angriffen zum Einsatz.
Aktuell wird das Problem durch eine massive Verbreitung unerwünschter Bots noch verschärft. Und viele davon können sich sogar den derzeitigen Anti-Bot-Kontrollen entziehen.
Die Werkzeuge für Credential Stuffing
Viele Angreifer setzen automatisierte Bots ein, um Credential-Stuffing-Kampagnen zu starten und zu orchestrieren. Zu den wichtigsten Point-and-Click-Tools gehören hier Sentry MBA, OpenBullet, BlackBullet, Snipr, STORM und Private Keeper. Cyberkriminelle nutzen auch allgemeine Open-Source-Betriebswerkzeuge wie Wget, Selenium, PhantomJS und cURL. Damit simulieren sie einen Browser, der skriptgesteuerte Web-Login-Sitzungen ausführt.
Um einen Credential-Stuffing-Angriff durchzuführen, benötigt das Tool eine Liste mit gestohlenen Zugangsdaten, die bei der attackierten Website ausprobiert werden. Diese Listen sind oft eine einfache Datei mit Benutzernamen (normalerweise E-Mail-Adressen) und Passwörtern. Wenn der Angreifer nicht bereits eine umfangreiche Liste durch Phishing erhalten hat, kann er eine solche leicht im Dark Web erwerben. Die Listen lassen sich dann direkt in die Angriffswerkzeuge laden.
Die Folgen von Credential Stuffing
Websites sind oft nur durch eine einfache Web Application Firewall (WAF) geschützt – wenn überhaupt. Einige WAFs erkennen keine Credential-Stuffing-Angriffe oder wehren sie nicht ab. Denn WAFs sind grundsätzlich so konzipiert, dass sie nur Angriffe auf Anwendungen, ungewöhnliche Anfragen oder Web-Exploits blockieren. Ein Credential-Stuffing-Angriff sieht aber wie eine legitime Anmeldung aus.
Allerdings gibt es hier viele Login-Versuche in kurzer Zeit – und viele davon mit falschen Passwörtern. Dies ist natürlich verdächtig. Doch eine Erkennung setzt voraus, dass die Sicherheitsmechanismen fehlgeschlagene Anmeldeversuche beobachten und deren ungewöhnliche Häufigkeit bemerken.
In der Praxis wird dann Credential Stuffing oft mit einem Denial-of-Service-Angriff verwechselt. Da die Login-Seiten durch die vielen fehlgeschlagenen Anmeldeversuche überfordert sind, stürzt entweder die Website ab oder Kunden können sich nicht mehr einloggen. Es hat sogar Fälle gegeben, in denen die gesamte Backend-Infrastruktur unter der hohen Last von Authentifizierungsanfragen zusammengebrochen ist.
Grundlegende Abwehrmaßnahmen
Die korrekte Erkennung eines Credential-Stuffing-Angriffs ist jedoch nur der erste Schritt. Zu den grundlegenden Abwehrmaßnahmen gehören die Inspektion und Blockierung der Web-Sitzung. Dazu sind einige WAFs in der Lage. Wenn das Angriffswerkzeug oder der Bot einfache Web-Login-Anfragen verwendet, kann der User-Agent, der normalerweise von einem Web-Browser zur Identifikation gegenüber einem Web-Server genutzt wird, als illegitim erkannt und blockiert werden.
Eine weitere Maßnahme ist die Verwendung von IP-Adress-Deny-Listen, um Daten von bekannten bösartigen Websites zu blockieren. Die Deny-Liste basiert oft auf dem geographischen Ursprung, IP-Adressen aus früheren Angriffen oder Listen bekannter Angreifer von Drittanbietern. Ein weiteres Instrument ist die Ratenbegrenzung von Login-Versuchen, die aber sowohl für Angreifer als auch für Kunden wirksam ist. Dies erschwert es häufig, die richtige Balance zu finden.
Der nächste Schritt besteht aus dem Hinzufügen eines CAPTCHA-Tests zum Login-Prozess. Die Kehrseite der Medaille: CAPTCHAs verärgern häufig Kunden und können für Menschen mit Behinderungen eine unüberwindliche Hürde darstellen.
Cyber-Kriminelle wissen aber bereits, wie sie diese einfachen Abwehrmaßnahmen umgehen können. Dabei besteht ihre eigentliche Arbeit darin, die bestehenden Tools für die Website des jeweiligen Opfers zu konfigurieren und anzupassen sowie die Skripte zu modifizieren.
Fälschung der IP-Adresse
Angreifer verwenden selten einen unveränderten, bekannten Satz von Bots. Selbst wenn diese Bots bei einigen rufbasierten Filtern gelistet sind, können sie noch viele andere Computer und IoT-Geräte erfolgreich angreifen. Dazu laufen Bots oft über Internet-Verbindungen von Verbrauchern, die dynamische IP-Adressen verwenden. Eine Blockierung aufgrund der geografischen Herkunft ist ebenfalls oft unwirksam, da die Angreifer Bots aus der ganzen Welt verwenden. Die meisten Credential-Stuffing-Tools verfügen zudem über Konfigurationsoptionen zum Laden und Verwenden neuer Listen von Proxies.
Die Ratenbegrenzung basiert häufig auf der Herkunfts-IP-Adresse. So lässt sich dieser Abwehrmechanismus ebenfalls durch dynamische IP-Adressen umgehen. Zudem können Angreifer ihre Bots so konfigurieren, dass sie ihre Attacken staffeln und zwischen verschiedenen Adressen verteilen. Dadurch greifen Bots zu verschiedenen Zeiten und von unterschiedlichen Orten aus an, um Ratenbegrenzung und IP-Adressblocker zu täuschen.
Tarnung des Bots als legitimer Web-Browser
Viele Tools für Credential-Stuffing-Bots können einen echten Browser imitieren. Ein einfacher Weg ist das Fälschen eines User-Agents.
Bots können auch einen Referer-Request-Header fälschen, der die mit der angeforderten Webseite verknüpfte URL identifiziert. Diese Header bieten Websites zwar eine einfache Möglichkeit, die Legitimität des Kunden zu überprüfen, lassen sich aber einfach nachahmen.
Einen Menschen imitieren
Natürlich können Cyber-Kriminelle inzwischen auch CAPTCHAs aushebeln. Viele Angriffswerkzeuge verfügen über optionale Plugins, um das angezeigte Bild mit Tausenden von bekannten CAPTCHA-Rätseln abzugleichen und die richtigen Antworten zu liefern.
Forscher von F5 Labs haben vor kurzem eine detaillierte Analyse des CAPTCHA-Lösungsmarktes verfasst. Diese beantwortet auch die Frage, warum CAPTCHAs oft eher eine „Holzhammer-Methode“ darstellen als eine endgültige Lösung des Problems.
Nachahmung der menschlichen Mausbewegung
Einige Bot-Scraping-Tools suchen nach geskripteten Mausbewegungen oder Tastenanschlägen, um Bots zu erkennen. Auch diese Abwehrmaßnahme lässt sich mit einer Vielzahl von Werkzeugen umgehen. Beispielsweise simuliert BezMouse dazu menschenähnliche Mausbewegungen mit Bézier-Kurven.
Intelligentere Antibot-Tools
Entsprechend müssen Unternehmen intelligentere Abwehrmaßnahmen gegen Credential-Stuffing-Bots einsetzen. Das beginnt mit der Erfassung mehrerer Faktoren beim Web-Benutzer. Diese werden mit Hilfe von maschinellem Lernen bewertet, um Bots zu identifizieren.
Intelligente Antibot-Systeme können auch die Vorhersehbarkeit pseudozufälliger Maus- und Tastaturaktionen erkennen. Darüber hinaus befragen sie den Browser des Benutzers während der Web-Sitzung. Diese Abfrage sucht nach den Merkmalen eines echten Browsers auf einem realen Computer, zum Beispiel der Fähigkeit, JavaScript auszuführen. Sogar die Login- und Passwort-Kombinationen lassen sich in Echtzeit überprüfen, um herauszufinden, ob sie Teil bekannter Credential-Datenbanken sind.
Fazit
Bot-basierte Credential-Stuffing-Angriffe – insbesondere gegen schwache Abwehrmechanismen – können sehr gefährlich sein. Zudem passen sich Cyberkriminelle schnell an. Daher müssen es Unternehmen ihnen so schwer wie möglich machen und mit intelligenten Schutzmaßnahmen die Kosten und Komplexität eines Angriffs erhöhen, um sie abzuschrecken.
Roman Borovits ist als Sr. Systems Engineer für F5 Networks in der Region Deutschland, Österreich und Schweiz tätig und blickt im Bereich Netzwerk & Security auf fast 20 Jahre Berufserfahrung zurück.
