Was ist ein Brute-Force-Angriff?

Bei einem Brute-Force-Angriff versucht ein Bedrohungsakteur, Zugriff auf vertrauliche Daten und Systeme zu erhalten, indem er systematisch möglichst viele verschiedene Kombinationen aus Benutzername und einem erratenen Kennwort ausprobiert. Wenn der Angreifer erfolgreich ist, hat er Zugriff auf das System und kann sich als legitimer Benutzer tarnen, bis er entdeckt wird. In dieser Zeit bewegt der Angreifer sich lateral, installiert Backdoors, sammelt Systeminformationen für zukünftige Angriffe und kompromittiert natürlich Daten.

Brute-Force-Angriffe gibt es ebenso lange wie es Kennwörter gibt. Sie liegen nicht nur weiterhin im Trend, sondern werden aufgrund des Wechsels ins Homeoffice sogar immer häufiger.

Vor der weltweiten COVID-19-Pandemie saßen die meisten Angestellten in Büros mit Infrastrukturen, die mit Sicherheitskontrollen überwacht wurden. Da mittlerweile sehr viele Mitarbeiter ihre eigenen Geräte und Netzwerke für die Verbindung mit dem Unternehmensnetzwerk nutzen, konzentrieren sich Angreifer auf RDP (Remote Desktop Protocol) und andere Remote-Zugriffsdienste. RDP ist eine besonders beliebte Methode zum Einschleusen von Ransomware wie Maze.

Warum verwenden Hacker Brute-Force-Angriffe?

Mit Brute-Force-Angriffen verfolgen Hacker verschiedene Ziele. Sie stehlen sensible Daten, verteilen Malware, kapern Systeme für schädliche Zwecke, blockieren den Zugriff auf Websites, profitieren von Anzeigen, leiten Website-Datenverkehr zu provisionspflichtigen Werbe-Websites um und infizieren Websites mit Spyware, um Daten zu erfassen, die sie dann an Werbetreibende veräußern.

Die erforderlichen technologischen Fähigkeiten sowie der finanzielle Aufwand zum Starten eines Credential Stuffing-Angriffs sind sehr gering. Für nur 550 US-Dollar kann jeder, der einen Computer besitzt, Credential Stuffing initiieren.

Wie funktioniert ein Brute-Force-Angriff?

Bedrohungsakteure setzen zum Durchführen von Brute-Force-Angriffen automatisierte Tools ein. Diejenigen, denen das Know-how zum Erstellen eines eigenen Tools fehlt, können ein solches ganz einfach in Form von Malware-Kits im Dark Web kaufen. Dort können sie außerdem Daten wie Listen mit abgegriffenen Anmeldedaten erwerben, die sie dann für Credential-Stuffing- oder Hybrid-Brute-Force-Angriffe verwenden. Diese Listen sind teilweise Komponenten eines Pakets, das außerdem die automatisierten Tools und andere Extras wie eine Verwaltungskonsole enthält.

Sobald der Angreifer seine Tools eingerichtet und ggf. mit Listen gespeist hat, startet der Angriff.

Brute-Force-Angriffe lassen sich über Botnets durchführen. Botnets sind Systeme aus gekaperten Computern, deren Verarbeitungsleistung ohne Zustimmung oder Wissen des rechtmäßigen Benutzers angezapft wird. Genau wie die bereits erwähnten Malware-Kits werden auch Bot-Kits im Dark Web zum Kauf angeboten. Im vergangenen Jahr wurde ein Botnet für die Kompromittierung von SSH-Servern genutzt, die unter anderem Banken, medizinischen Zentren und Bildungseinrichtungen gehörten.

Brute-Force-Angriffe haben einen hohen Ressourcenbedarf, sind dabei aber sehr effektiv. Manchmal sind sie auch nur die erste Stufe einer ganzen Reihe von Angriffen. Ein Beispiel dafür wird im CrowdStrike-Blog ausführlich erläutert. In diesem Fall handelte sich bei dem Brute-Force-Angriff um einen Teil eines mehrstufigen Exploits, bei dem die Zugriffsrechte auf die komplette Domäne erweitert wurden.

Arten von Brute-Force-Angriffen

Einfacher Brute-Force-Angriff

Bei einem einfachen Brute-Force-Angriff werden Kennwörter mithilfe von Automatisierung und Skripten erraten. Typische Brute-Force-Angriffe schaffen pro Sekunde einige hundert Rateversuche. Einfache Kennwörter, die keine Kombination aus Groß- und Kleinbuchstaben oder gängige Ausdrücke wie „123456“ oder „Passwort“ verwenden, werden innerhalb weniger Minuten geknackt. Es besteht jedoch das Potenzial, diese Geschwindigkeit massiv zu beschleunigen. Bereits 2012 gelang es einem Forscher, mithilfe eines Computer-Clusters pro Sekunde ganze 350 Milliarden Kennwörter auszuprobieren.

Wörterbuchangriff

Bei einem Wörterbuchangriff werden Kombinationen aus gängigen Wörtern und Phrasen ausprobiert. Während ursprünglich Wörter aus einem Wörterbuch sowie Zahlen verwendet wurden, sind es bei heutigen Wörterbuchangriffen auch Kennwörter, die bei früheren Sicherheitsverletzungen gestohlen wurden. Diese abgefangenen Kennwörter sind im Dark Web käuflich erhältlich und werden teilweise sogar im Open Web kostenlos angeboten.

Mithilfe von Wörterbuchsoftware werden Zeichen durch ähnliche Zeichen ersetzt, um daraus neue Ratebegriffe zu erstellen. So ersetzt die Software zum Beispiel ein kleines „i“ durch ein großes „I“ oder ein kleines „a“ durch „@“. Die Software probiert nur Kombinationen aus, die laut ihrer Logik am wahrscheinlichsten zum Erfolg führen.

Credential Stuffing

Im Laufe der Jahre wurden mehr als 8,5 Milliarden Benutzernamen und Kennwörter abgefangen. Diese gestohlenen Anmeldeinformationen wechseln im Dark Web den Besitzer und werden für alle möglichen Angriffe verwendet – von Spam-E-Mails bis hin Kontoübernahmen.

Bei einem Credential-Stuffing-Angriff werden die gestohlenen Anmeldeinformationen für mehrere Websites verwendet. Credential Stuffing funktioniert deshalb, weil viele Benutzer dazu neigen, ihre Anmeldenamen und Kennwörter mehrfach zu verwenden. Wenn sich der Hacker also erst einmal Zugriff auf das Kundenkonto einer Person bei einem Stromanbieter verschafft hat, stehen die Chancen gut, dass die gleichen Anmeldedaten auch für das Bankkonto der betreffenden Person funktionieren.

Die Gaming- und Medienbranche sowie der Einzelhandel gehören zwar zu den bevorzugten Zielen, allerdings richten sich Credential-Stuffing-Angriffe generell gegen alle Branchen.

Reverse-Brute-Force-Angriff

Bei einem klassischen Brute-Force-Angriff startet der Angreifer mit einem bekannten Schlüssel, in der Regel mit einem Benutzernamen oder einer Kontonummer. Anschließend versucht er, mithilfe von Automatisierungstools das zugehörige Kennwort zu ermitteln. Bei einem Reverse-Brute-Force-Angriff kennt der Angreifer das Kennwort bereits und muss nun den Benutzernamen oder die Kontonummer ermitteln.

Hybrid-Brute-Force-Angriff

Bei einem Hybrid-Brute-Force-Angriff werden Wörterbuchangriff und Brute-Force-Angriff kombiniert. Benutzer hängen an ihr Kennwort oft einige Zahlen an (meist vier Ziffern). Diese vier Ziffern stehen meist für ein für den Benutzer wichtiges Jahr, wie Geburtsjahr oder Schulabschluss. Die erste Ziffer ist deshalb in der Regel eine 1 oder eine 2.

Bei einem Hybrid-Brute-Force-Angriff nutzen Angreifer den Wörterbuchangriff zur Ermittlung der Wörter und dann einen Brute-Force-Angriff für den zweiten Teil, die vier Ziffern. Die Kombination beider Angriffsarten erweist sich als effizienter als die separate Verwendung beider Methoden.

Password Spraying

Herkömmliche Brute-Force-Angriffe versuchen, das Kennwort für ein einzelnes Konto zu erraten. Password Spraying geht umgekehrt vor. Bei dieser Methode wird versucht, ein gängiges Kennwort auf viele Konten anzuwenden. Mit diesem Ansatz verhindern die Angreifer, dass sie durch Sperrrichtlinien ausgebremst werden, weil sie die maximale Anzahl zulässiger Kennworteingaben überschritten haben. Password Spraying richtet sich meist gegen Ziele mit Single Sign-On (SSO) sowie gegen cloudbasierte Apps, die auf föderierter Authentifizierung basieren.

Botnets

Ein Brute-Force-Angriff ist ein Zahlenspiel. Für die Durchführung im großen Maßstab ist enorme Rechenleistung erforderlich. Dadurch, dass die Hacker den Angriffsalgorithmus über ein Netzwerk aus gekaperten Computern durchführen lassen, sparen sie sich die Kosten und den Aufwand für den Unterhalt eigener Systeme. Botnets bieten außerdem eine zusätzliche Portion Anonymität. Gleichzeitig können sie für jede Art von Brute-Force-Angriff verwendet werden.

Bei Brute-Force-Angriffen verwendete Tools

Die für das Angreifen verschiedenster Plattformen und Protokolle benötigten Tools sind oft kostenlos im Open Web verfügbar. Hier eine kleine Auswahl:

  • Aircrack-ng: Aircrack-ng ist ein kostenlos verfügbares WLAN-Kennwort-Tool. Es wird zusammen mit WEP/WPA/WPA2-PSK Cracker- und Analysetools bereitgestellt und ermöglicht Angriffe gegen Wi-Fi 802.11 sowie gegen beliebige NICs, die den Raw-Monitor-Modus unterstützen.
  • DaveGrohl: DaveGrohl ist ein Brute-Force-Tool für macOS, das Wörterbuchangriffe unterstützt. Es verfügt über einen verteilten Modus, in dem Akteure ihre Angriffe mit demselben Kennwort-Hash über mehrere Computer ausführen können.
  • Hashcat: Hashcat ist ein kostenlos verfügbares, CPU-basiertes Tool zum Knacken von Kennwörtern. Es funktioniert auf Windows-, macOS- und Linux-Systemen und kann für zahlreiche Angriffsarten eingesetzt werden, darunter einfache Brute-Force-, Wörterbuch- und Hybrid-Angriffe.
  • THC Hydra: THC Hydra knackt die Kennwörter von Netzwerkauthentifizierungen. Das Tool lässt sich für mehr als 30 Protokolle verwenden, darunter HTTPS, FTP und Telnet.
  • John the Ripper: Dieses kostenlose Tool zum Knacken von Kennwörtern wurde für UNIX-Systeme entwickelt. Mittlerweile ist es für 15 weitere Plattformen verfügbar, darunter Windows, OpenVMS und DOS. John the Ripper erkennt automatisch den in einem Kennwort verwendeten Hashing-Typ und kann daher verschlüsselte Kennwortspeicher angreifen.
  • L0phtCrack: L0phtCrack wird für einfache Brute-Force-, Wörterbuch-, Hybrid- und Rainbow-Table-Angriffe verwendet, um Windows-Kennwörter zu knacken.
  • NL Brute: Dieses RDP-Brute-Force-Tool ist seit mindestens 2016 im Dark Web erhältlich.
  • Ophcrack: Ophcrack ist ein kostenloses Open-Source-Tool zum Knacken von Windows-Kennwörtern. Es verwendet LM-Hashes über Rainbow Tables.
  • Rainbow Crack: Rainbow Crack generiert Rainbow Tables, die während eines Angriffs verwendet werden. Die Rainbow Tables werden vorab berechnet, sodass sich die für den Angriff benötigte Zeit verkürzt.

Wie können Sie sich vor Brute-Force-Angriffen schützen?

Multifaktor-Authentifizierung verwenden

Wenn Benutzer aufgefordert werden, ihre Identität mit mehr als einer Methode nachzuweisen, z. B. mit einem Kennwort plus Fingerabdruck oder mit einem Kennwort plus einmaligem Sicherheitstoken, dann hat ein Brute-Force-Angriff weniger Aussicht auf Erfolg.

IT-Hygiene implementieren

Verschaffen Sie sich Einblick darüber, wie Anmeldedaten in Ihrer Umgebung verwendet werden, und erzwingen Sie die regelmäßige Kennworterneuerung.

Richtlinien einrichten, die schwache Kennwörter ablehnen

Längere Kennwörter sind nicht unbedingt sicherer. Zielführend sind hingegen Kennwörter mit einer Mischung aus Groß- und Kleinbuchstaben und Sonderzeichen. Schulen Sie Ihre Mitarbeiter zu bewährten Verfahren für sichere Kennwörter, z. B. keine vier Ziffern am Ende des Kennworts und keine häufig verwendeten Zahlenfolgen (die z. B. mit 1 oder 2 beginnen). Stellen Sie ein Kennwortverwaltungstool bereit, damit Benutzer nicht auf Kennwörter zurückgreifen, die sie sich leicht merken können. Verwenden Sie ein Erkennungstool, das unveränderte Standardkennwörter auf Geräten findet.

Proaktive Bedrohungssuche implementieren

Mit einer proaktiven Bedrohungssuche können Angriffsarten identifiziert werden, die mit standardmäßigen Sicherheitsmaßnahmen möglicherweise übersehen werden. Sollte es einem Brute-Force-Angreifer gelungen sein, in ein System einzudringen, kann ein Threat Hunter den Angriff selbst dann erkennen, wenn die Operation unter dem Deckmantel legitimer Anmeldeinformationen erfolgt.