Brute Force Angriff

Definition

Ein Brute-Force-Angriff (Brute Force Attack auf Englisch) ist eine Methode, die Cyberkriminelle anwenden, um Passwörter und andere Zugangsdaten zu knacken. Bei einer Brute-Force-Attack greift ein Angreifer auf eine Liste an häufigen Wörtern zurück und probiert sie der Reihe nach durch, bis eines funktioniert. Wenn diese Liste zu keinem Ergebnis führt, versucht er es mit verschiedenen Buchstabenkombinationen. Es braucht manchmal tausende Versuche, bis ein Passwort geknackt ist. Deshalb kommen für Brute Force Automatisierungstools zum Einsatz, die es einem Angreifer ermöglichen, sehr viele Versuche möglichst schnell durchzuführen.

Wie werden brute-force-angriffe angewandt?

Eine Brute-Force-Attacke kann sich gegen eine Anwendung, einen Passwort-Hash oder ein verschlüsseltes Passwort richten. Webanwendungen haben normalerweise Sicherheitsmaßnahmen eingerichtet, um automatisierte Brute-Force-Angriffe zu stoppen. Deshalb kommt es viel häufiger vor, dass Angreifer ein bereits gestohlenes, aber gehashtes oder verschlüsseltes Passwort zu knacken versuchen. Wenn sich der Angriff gegen eine Anwendung richtet, wird der Angreifer Automatisierungstools einsetzen, die eine Liste an Benutzernamen und Passwörtern durchprobieren, bis eine erfolgreiche Kombination gefunden wird. Wenn er einen Treffer landet, bekommt der Angreifer sofort Zugang zu einem Benutzeraccount, falls keine weiteren Sicherheitsmaßnahmen vorhanden sind.

Häufiger ist jedoch das “Erraten” eines Passworts in verschlüsselter oder gehashter Form. Ein verschlüsseltes Passwort kann nur mit einem privaten Schlüssel entschlüsselt werden. Wenn ein Angreifer Zugang zu diesem Schlüssel besitzt, kann er das Passwort entschlüsseln. Alternativ kann er Tools verwenden, die versuchen, das Passwort zu erraten. Auf einem Server gespeicherte Passwörter sind üblicherweise gehasht, was sich nicht rückgängig machen lässt und nicht entschlüsselt werden kann. Da es nicht möglich ist, einen Passwort-Hash zu entschlüsseln, nimmt der Angreifer stattdessen eine Wörterbuch-Liste und hasht diese, um dann zu schauen, ob einer der resultierenden Hashes dem gestohlenen Passwort-Hash entspricht. Falls ja, hat der Angreifer das Passwort erfolgreich mihilfe von Brute Force geknackt.

Mit den geknackten Passwörtern hat ein Angreifer nun Zugang zu Benutzeraccounts. Hacker haben es aus verschiedenen Gründen auf Benutzerzugänge abgesehen. Zum einen wollen sie möglicherweise Geld stehlen oder persönliche Daten (personally identifiable information, PII) erlangen. Zum anderen können sie den Account jedoch auch dazu nutzen, schädlichen Code in das System einzuschleusen oder schadhafte Dateien an andere Benutzer auf dem Server zu schicken. Wenn ein Angreifer gar Zugang zu einem Admin-Account erlangt, kann er Server-Traffic umleiten, Anzeigen in Website-Inhalten unterbringen, zusätzliche Daten über interne Netzwerkverbindungen stehlen oder Malware auf kritischer Infrastruktur installieren. Der Schaden, den ein Brute-Force-Angriff verursachen kann, hängt von den Berechtigungen ab, die ein gehackter Account besitzt, und der Art der Anwendung ab.

Hier sind einige andere Beispiele, worauf ein Angreifer bei einer Brute-Force-Attack aus sein kann:

  • Nachrichten an Angestellte oder andere Nutzer schicken und diese dazu verleiten, Phishing-Links anzuklicken oder Anhänge mit Malware zu öffnen.
  • Malware auf dem System oder der internen Infrastruktur speichern. Wenn die Malware auf einem Admin-Gerät läuft, kann ein Angreifer hoch sensitive Zugangsdaten stehlen.
  • Nachrichten an Kunden schicken, in dem Versuch, das Ansehen der Firma zu schädigen.
  • Server-Prozesse missbrauchen, um Malware zu installieren, wie z.B. Abhöranwendungen.
  • Adware in der Anwendung schalten, um Geld an Anzeigen zu verdienen.
  • Traffic auf einen Server umleiten, den der Angreifer kontrolliert.

Beliebte brute force tools

Brute-Force-Angriffe sind normalerweise automatisiert. Ein Mensch kann pro Minute nur einige wenige Passwörter eintippen, während ein Computer in der gleichen Zeit hunderte oder tausende (abhängig von der Verbindungsgeschwindigkeit) Passwörter verarbeiten kann. Manchmal programmieren Angreifer die Automatisierungsskripte selbst, z.B. in Python.

Beispiele für Hacker-Tools, die zum Knacken von Passwörtern zum Einsatz kommen:

  • Aircrack-ng
  • John the Ripper
  • L0phtCrack
  • Hashcat
  • DaveGrohl
  • Ncrack

Meistens scannen die Angreifer das System gleichzeitig nach Schwachstellen, um beispielsweise veraltete Software aufzuspüren oder Informationen über die Zielanwendung zu sammeln. Admins sollten Server, die öffentlich sichtbar sind, stets aktuell halten, Sicherheitspatches einspielen und Monitoring-Software verwenden, die erkennt, wenn das System von außen gescannt wird.

Arten von brute-force-angriffen

Brute-Force-Angriffe bedeuten ganz allgemein, dass Zugangsdaten “erraten” werden, indem jede mögliche Kombination an Zeichen durchprobiert wird, bis die richtige Kombination gefunden wird. Um die besten Ergebnisse zu erzielen, nutzen Hacker jedoch eine Vielzahl an verschiedenen Strategien. Unternehmen müssen jede dieser Strategien kennen, um Gegenmaßnahmen zu entwickeln.

Arten von Brute-Force-Attacken sind unter anderem:

  • Einfache Angriffe: Hier probiert der Angreifer verschiedene Passwörter durch und nutzt dafür Informationen über einen Zielnutzer, die öffentlich zugänglich sind, z.B. online oder im Rahmen einer Social-Engineering-Attacke.
  • Wörterbuch-Angriffe: Viele Brute-Force-Angriffe nutzen eine Liste an Wörterbuch-Begriffen, Phrasen und häufig verwendete Passwörter, die sie im Internet finden.
  • Hybrider Angriff: Ein hybrider Angriff vereint einfache und Wörterbuch-Methoden. Indem Angreifer ihr Wissen über die Zielperson mit Wörterbuch-Phrasen kombinieren, erhöhen sie ihre Erfolgsrate. Oft nutzen sie dabei private Informationen wie z.B. das Geburtsdatum des Nutzers zusammen mit einem Wörterbuch-Begriff, da viele Nutzer auf diese Weise ihre Passwörter festlegen.
  • Umgekehrte Angriffe: Bei dieser Methode nimmt der Angreifer eine Liste an geknackten Passwörtern und sendet sie automatisiert an die Anwendung, bis er einen Benutzernamen findet, der zu dem Passwort passt. Die Liste an Passwörtern kaufen Angreifer meist auf Darknet-Marktplätzen.
  • Credential Stuffing: Viele Nutzer verwenden das gleiche Passwort auf verschiedenen Webseiten. Wenn ein Angreifer ein Passwort herausfindet, probiert er, ob es auch auf anderen Plattformen funktioniert.

Brute-Force-angriffe verhindern

Es gibt mehrere Strategien, die Admins anwenden können, um Brute-Force-Angriffe zu erkennen und zu verhindern. Der erste Schritt ist, bessere Regeln für die Passwortvergabe zu erstellen, sodass es Nutzern unmöglich gemacht wird, ein schwaches Passwort festzulegen. Für weniger kritische Systeme sollten Passwörter mindestens 10 Zeichen lang sein und sowohl Großbuchstaben, Sonderzeichen und Zahlen enthalten. Bei kritischen System ist die Mindest-Passwortlänge 12 Zeichen. Kommt dann auch noch eine starke Passwort-Verschlüsselung zum Einsatz, würde es Jahrzehnte dauern, bis ein Computer das Passwort mithilfe von Brute Force knacken könnte.

Folgende weitere Strategien sind außerdem sinnvoll:

  • Salting: Ein Salt ist ein zusätzlicher Wert, der beim Hashen von Passwörtern zum Einsatz kommt. Mit einem Salt reduziert sich die Wahrscheinlichkeit, dass ein Brute-Force-Angriff erfolgreich ist, weil der Angreifer sowohl das Passwort als auch den Salt-Wert erraten muss.
  • Die Anzahl an Login-Versuchen reduzieren: Die Anwendung sollte die Anzahl an fehlgeschlagenen Login-Versuchen hintereinander limitieren und bei zu vielen Versuchen den Account sperren und ein CAPTCHA anzeigen. Diese Maßnahme stoppt automatisierte Brute-Force-Angriffe, weil sie den Angriff so stark verlangsamt, dass er sich letzten Endes nicht mehr lohnt.
  • Verdächtige IP-Addressen blockieren: Wenn von einer IP-Adresse zu viele Login-Versuche kommen, sollte das System diese entweder für eine kurze Zeit blockieren oder ein Admin setzt sie manuell auf eine Blacklist.
  • Zwei-Faktor-Authentifizierung (2FA): Sollte ein Angreifer ein Passwort erfolgreich geknackt haben, würde 2FA dennoch verhindern, dass er Zugang zu dem Account erhält.

Überwachungssoftware kann Brute-Force-Angriffe erkennen und Admins über verdächtiges Verhalten informieren. Wenn die Software Alarm schlägt, kann es sein, dass ein Account-Übernahme-Versuch stattfindet. Diese Angriffe können Anlass geben, das Netzwerk genauer zu durchleuchten, um festzustellen, ob eine Datenverletzung stattgefunden hat.

Schulungsmodul zu sicheren Passwörtern

In unseren Modulen der Reihe zum Kennwortschutz lernen Ihre Mitarbeiter Mehrfaktor-Authentifizierung kennen und erfahren, wie sie sichere Kennwörter, PINs und Passphrasen erstellen und dabei Empfehlungen für den sicheren Umgang einhalten.

Schutz vor Business Email Compromise (BEC)

Profitieren Sie von Proofpoint‘s mehrstufigem Ansatz, um Ihr Unternehmen vor BEC (Business E-Mail Compromise) und anderen betrügerischen E-Mails zu schützen.

Was ist Business Email Compromise (BEC)?

Schützen Sie Ihr Unternehmen vor betrügerischen Geschäftsemails (BEC), Phishing Attacken, Spam, Betrüger E-Mails und mehr mit Proofpoint DE.