Wie Credential Stuffing unbemerkt bleibt

Credential Stuffing ist eine Unterkategorie von Brute-Force-Angriffen, bei der kompromittierte beziehungsweise gestohlene Anmeldedaten eingesetzt werden, um mit großangelegten, automatisierten Anmeldeanfragen Zugriff auf weitere Benutzerkonten, Systeme oder Applikationen zu erhalten. Eine hohe Nutzungsfrequenz der Konten, mehrfach eingesetzte Passwörter und enorme Mengen gestohlener Datensätze im Darkweb spielen den Cyberkriminellen dabei in die Hände.

Erschwerend kommt hinzu, dass diese ihre betrügerischen Zugriffsversuche zunehmend verschleiern und damit legitim erscheinen lassen, um einer Detektion zu entgehen: "Die Angreifer fragen sich: 'Wie sieht eine legitime Anfrage aus - und wie können wir das nachahmen?'", erklärt Troy Hunt, Sicherheitsforscher und Gründer des Onlineservices "Have I Been Pwned".

Credential Stuffing: 4 Wege zur Verschleierung

Wir haben mit Sicherheitsexperten darüber gesprochen, welche Wege Cyberkriminelle hauptsächlich beschreiten, um ihre Credential-Stuffing-Aktivitäten zu verbergen - und wie Sie sich dagegen wappnen können.

1. Anfragendrosselung

"Ein gängiger Trick, um Credential-Stuffing-Angriffe zu verschleiern, besteht darin, die Anfragelast zu drosseln", weiß Michael Isbitski, Tech-Evangelist bei Salt Security und Ex-Gartner-Analyst. "Rate Limits und Ressourcenbegrenzungen werden häufig als Security Best Practice für API-Vermittlungsmechanismen empfohlen".

So könnten Unternehmen beispielsweise ein Rate Limit von zehn Anfragen pro Minute für eine bestimmte API festlegen. Diese werden über ein API Gateway vermittelt. Stellt ein User elf API-Anfragen in einer Minute, funktionieren die ersten zehn (insofern der User Zugang hat) - die letzte Anfrage wird explizit blockiert. Dieser Schwellenwert wird in der Regel in der nächsten Minute zurückgesetzt. Einige Rate-Limiting-Mechanismen lassen jedoch dynamische Grenzen zu. Dies ermöglicht, auffällige API-Caller über einen längeren Zeitraum einzuschränken - ähnlich einer Kontosperrung.

"Wenn Angreifer ihre Anfragen drosseln, konfigurieren sie ihre Tools oder Skripte so, dass die Last nahe an dieser Grenze läuft" erklärt Isbitski. "Diese Technik funktioniert oft, weil Rate Limits auf durchschnittlichen Nutzungsmustern basieren und Fälle von missbräuchlicher Nutzung nicht berücksichtigen. Dynamische Rate Limits, die auf einer kontinuierlichen Analyse des API-Caller-Verhaltens aufbauen, sind die beste Verteidigungsmaßnahme gegen diese Verschleierungstaktik."

2. Lösen von CAPTCHAs

Credential-Stuffing-Angriffe laufen automatisiert ab. Cyberkriminelle müssen deswegen sicherstellen, die Kontrollmechanismen zu umgehen, die automatisierte Anmeldeversuche verhindern sollen - und das sind insbesondere CAPTCHAs. Diese werden bei einer Anmeldeanfrage automatisch generiert und fordern den User auf, zu beweisen, dass er kein Bot ist. Für Menschen sind die bildbasierten Aufgaben kein Problem, für Computer schon.

In der Regel nutzen Cyberkriminelle zur Umgehung dieser Maßnahme sogenannte CAPTCHA-Farmen, in denen Menschen die Aufgaben gegen eine geringe Gebühr lösen. Das werfe ein Schlaglicht auf die Rentabilität von Credential Stuffing und den Wert, den böswillige Akteure der Kompromittierung von Konten beimessen, meint Hunt: "Wenn wir die Kosten für diese Angriffe erhöhen können, verringern wir den ROI der kriminellen Hacker."

3. Manipulierte HTTP-Header-Daten

Einige Detektionsmechanismen versuchen, ein Profil oder einen Fingerabdruck eines API-Callers zu erstellen, indem sie HTTP-Header-Informationen wie User-Agent-Strings analysieren.

Die Sicherheitsanalyse auf der Grundlage dieser Metadaten allein sei jedoch unzuverlässig und werde von Angreifern ausgenutzt, meint Isbitski: "Sogar mit einfachen Browser-Plugins hat der Angreifer die vollständige Kontrolle. Fängt er Proxys ab, kann er die Header nach Belieben ändern und diese Änderungen über mehrere Anfragen hinweg automatisieren, um einer Entdeckung zu entgehen. Dabei können sie als Web User, mobiler Benutzer, IoT Device oder etwas anderes in Erscheinung treten."

Unternehmen müssten deshalb mehr tun, als nur HTTP-Header-Informationen zu analysieren und das Benutzerverhalten auf Sitzungsebene zu untersuchen, um bösartige API-Caller zu identifizieren, empfiehlt der Tech-Evangelist: "Sie sollten API-Telemetriedaten an zahlreichen Punkten der Architektur sammeln und eine kontinuierliche Analyse fahren, um Anomalien zu identifizieren, die auf einen Angriff hindeuten könnten."

4. Geo-Distribution von API-Anfragen

IP-Sperrlisten vermitteln Aufrufe an eine Back-End-API und können so konfiguriert werden, dass eine Netzwerkverbindung blockiert wird, wenn der API-Call von einer als bösartig bekannten IP-Adresse ausgeht. Um Anmeldeversuche so aussehen zu lassen, als kämen sie von verschiedenen Standorten, nutzen Cyberkriminelle Proxys. "Bedrohungsakteure verwenden Netzwerktunnel, um ihre IP-Adressen und ihren Standort zu verschleiern, was die Zuordnung für die Netzwerkverteidiger erschwert und dazu führt, dass Datenpakete von einer Quell-IP-Adresse stammen, die den Datenverkehr nicht erzeugt hat", erklärt Chris Morgan, Senior Cyberthreat Intelligence Analyst bei Digital Shadows.

"Angreifer nutzen auch die Cloud, um ihre Angriffe zu starten und auszuweiten", ergänzt Isbitski. "IP-Adressräume von Cloud-Service-Providern werden von Unternehmen in der Regel als vertrauenswürdig eingestuft, so dass legitime Cloud-Ressourcen genutzt und Integrationen ohne Probleme funktionieren können." Cloud-basierte IP-Adressen - insbesondere in containerisierter Form - seien zu flüchtig, um sie über IP-Sperrlisten kontrollieren zu können, so der ehemalige Gartner-Mann: "Wenn der Cloud Service Provider reagiert, setzen die Angreifer in der Regel bereits auf andere Methoden - oder Provider. Ähnlich wie beim Thema Rate Limiting ist auch hier ein dynamischer Schutz empfehlenswert."

Credential Stuffing verhindern: Maßnahmen

Have-I-Been-Pwned-Gründer Hunt empfiehlt CISOs eine mehrschichtige Verteidigungsstrategie, um Credential-Stuffing-Angriffe zu verhindern. Der erste Schritt müsse darin bestehen, eine Kultur der Passworthygiene im Unternehmen einzuführen: "Solange wir nicht in der Lage sind, Menschen zu vermitteln, Passwortmanager zu nutzen, wird das nichts. Meiner Meinung nach ist es eine echte 'low hanging fruit', die Menschen davon abzuhalten, risikobehaftete Passwörter zu verwenden."

Eine Zwei-Faktor-Authentifizierung sei der nächste logische Schritt, so der Experte - und weist darauf hin, dass etwa eine SMS-Authentifizierung hilfreich und außerdem einfach zu implementieren sei: "Sie tun gut daran, den Mitarbeitern die richtigen Werkzeuge an die Hand zu geben. Dabei sollten Sie vor allem darauf achten, den Anmeldefluss nicht zu sehr zu behindern."

Von diesem Punkt aus könnten komplexere Vertrauensschwellen eingeführt werden, die in Kraft treten, wenn bei der Anmeldung Warnsignale auftreten und zusätzliche Authentifizierungsprüfungen mit sich bringen: "Wenn das Trust-Level einen bestimmten Schwellenwert unterschreitet, kann beispielsweise ein Verifizierungs-Token per E-Mail verschickt werden. Für den User bedeutet das lediglich einen Klick - ist also aus Sicht der Benutzerfreundlichkeit vertretbar", meint Hunt.

Abschließend rät der Tech-Evangelist CISOs, das Risiko ihrer verschiedenen Services genau zu kennen und die Auswirkungen potenziell verdächtiger Anmeldungen auf jeden einzelnen Dienst zu messen: "Es ist eine Sache, wenn sich jemand in mein Chrome-Konto einloggt, um Katzenbilder zu kommentieren. Aber eine ganz andere, wenn es sich stattdessen um eine Crypto-Wallet handelt. Angemessene Kontrollen in Sachen Risiko und Folgenabschätzung sind also unerlässlich." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.