Все знают, что один из проверенных методов получения авторизационных данных — это брутфорс. Неэстетично, зато надежно. В любой компании найдутся пользователи, у которых пароль встречается в списке самых популярных паролей и его можно сбрутить. Во избежание блокировки аккаунтов используется атака Password Spraying - когда берется несколько самых известных паролей, много-много имен пользователей и происходит проверка одного пароля на всех пользователей.
Очень удобно применять Password Spraying на Office365 и Azure.
Однако у Microsoft есть такая интересная вещь, которая детектирует применение такого рода атак. Называется Azure Smart Lockout. Это интеллектуальная блокировка, которая будет блокировать аккаунт пользователя если:
Сегодня делимся с вами двумя тулзами для password spraying
MSOLSpray (https://github.com/dafthack/MSOLSpray) - powershell скрипт, который основан на использовании Microsoft Graph API и предоставляет информацию об аккаунте (включен ли MFA, существует ли пользователь, заблокирована или отключена учетная запись)
TREVORspray (https://github.com/blacklanternsecurity/TREVORspray) - инструмент, написанный на питоне, основанный на MSOLSpray (также использует Microsoft Graph API). Однако добавлена еще возможность распараллеливать через ssh доступ к своим VPS.
источник [MIS]ter & [MIS]sis Team
Очень удобно применять Password Spraying на Office365 и Azure.
Однако у Microsoft есть такая интересная вещь, которая детектирует применение такого рода атак. Называется Azure Smart Lockout. Это интеллектуальная блокировка, которая будет блокировать аккаунт пользователя если:
- было 10 неудачных попыток входа в аккаунт. После этого аккаунт блокируется на одну минуту. Дальше с геометрической прогрессией растет время блокировки аккаунта и уменьшается количество неверно введенных паролей.
- незнакомое местоположение, с которого пользователь пытается войти в систему. Для знакомого и незнакомого местоположений - разные счетчики неудачных попыток. Таким образом, пользователь может ввести неверный пароль 10 раз с известного местоположения и 10 раз с неизвестного.
Сегодня делимся с вами двумя тулзами для password spraying
MSOLSpray (https://github.com/dafthack/MSOLSpray) - powershell скрипт, который основан на использовании Microsoft Graph API и предоставляет информацию об аккаунте (включен ли MFA, существует ли пользователь, заблокирована или отключена учетная запись)
TREVORspray (https://github.com/blacklanternsecurity/TREVORspray) - инструмент, написанный на питоне, основанный на MSOLSpray (также использует Microsoft Graph API). Однако добавлена еще возможность распараллеливать через ssh доступ к своим VPS.
источник [MIS]ter & [MIS]sis Team
