Как найти взломанные пароли с помощью PowerShell

В среду Active Directory организации может проникнуть множество различных типов проблем с безопасностью паролей. Например, конечные пользователи печально известны использованием легко угадываемых паролей, которые соответствуют критериям сложных паролей и небезопасны. Пример использования пароля, [email protected]$$ w0rd123. Он соответствует техническому определению сложного, но его легко взломать.

Кроме того, конечные пользователи могут даже выбирать пароли из списков взломанных паролей, таких как HaveIBeenPwned.com, и других. Из-за современных угроз кибербезопасности поиск взломанных паролей в Active Directory должен быть приоритетом. Однако в Active Directory нет собственного способа идентифицировать взломанные пароли.

К счастью, есть способ использовать PowerShell для поиска взломанных паролей. Вот как это сделать.

Почему взломанные пароли так опасны?

Действующий из лучших побуждений ИТ-администратор может сделать вывод, что даже если пользователь в моей организации выбирает пароль из взломанной базы данных паролей, к которой имеет доступ злоумышленник, это не та же учетная запись пользователя. Это правда. Злоумышленник должен сопоставить действующую учетную запись пользователя с правильным паролем, прежде чем он станет технически «правильным». Однако злоумышленники могут использовать известные пароли в определенных атаках, чтобы «найти» учетные записи пользователей с этим конкретным паролем.

В распыление пароля нападения, хакеры могут использовать несколько паролей и распылять эти пароли на большое количество учетных записей, чтобы проверить, работает ли какой-либо из паролей. Злоумышленники часто используют списки взломанных паролей из известных паролей, которые пользователи выбирали ранее.

Проблема в том, что мы, люди, склонны мыслить одинаково. Например, предположим, что один пользователь придумал конкретный пароль, в котором используются определенные преобразования символов и определенная комбинация специальных символов. В этом случае есть большая вероятность, что другой пользователь в совершенно другой организации подумает об этом же пароле. Злоумышленники знают об этом, и использование ранее взломанных паролей против других учетных записей пользователей оказывается эффективным.

Кроме того, большинство конечных пользователей манипулируют доступом к нескольким системам и решениям как локально, так и в облаке. Все это требует пароля. Кроме того, хакеры знают, что пользователи используют один и тот же пароль для нескольких учетных записей, что позволяет легко угадывать пароли. Если один пароль скомпрометирован, все системы, использующие этот пароль, будут скомпрометированы.

Исследование экспертов о взломе паролей

Исследование Google 2019 года с опросом Harris Poll показало, что 13 процентов людей повторно используют один и тот же пароль для всех учетных записей, а еще 52 процента используют один и тот же пароль для нескольких (но не для всех) онлайн-учетных записей. Только 35% используют разные пароли для каждой учетной записи.

Взломанные учетные данные — это очень эффективный способ, с помощью которого киберпреступники могут атаковать критически важные для бизнеса данные. Если для доступа к критически важной системе обнаруживаются легитимные учетные данные, злоумышленники могут «пройти прямо через входную дверь» без особых усилий.

В отчете о расследовании утечки данных за 2021 год, опубликованном Verizon, говорится:

«Как и раньше, фишинг идет рука об руку с использованием украденных учетных данных для взлома. По общему признанию, мы ожидали увидеть здесь рост за счет увеличения числа удаленных сотрудников ».

В том же отчете указывается, что учетные данные являются одним из наиболее желательных типов информации для злоумышленника:

«Как мы указывали в предыдущих отчетах, учетные данные остаются одним из самых востребованных типов данных…»

Компрометация учетных данных увеличивает стоимость событий утечки данных. Согласно отчету IBM Cost of a Data Breach 2020:

«Похищенные или скомпрометированные учетные данные были самой дорогой причиной утечки злонамеренных данных. Каждая пятая компания (19%), пострадавшая от злонамеренного взлома данных, подверглась проникновению из-за кражи или взлома учетных данных, что увеличило среднюю общую стоимость взлома для этих компаний почти на 1 миллион долларов до 4,77 миллиона долларов ».

Как найти взломанные пароли с помощью PowerShell

Поскольку в Active Directory нет встроенных средств для поиска взломанных паролей или какой-либо встроенной защиты от взломанных паролей, предприятиям необходимо использовать другие средства для поиска используемых взломанных паролей. Один из способов обнаружения взломанных паролей в Active Directory — использование PowerShell.

PowerShell — это мощный язык сценариев, который свободно доступен в современных версиях Windows Server и может легко использоваться для аудита паролей Active Directory с целью обнаружения взломанных паролей, используемых конечными пользователями. Посмотрим как.

В качестве примера модуля PowerShell, который может находить взломанные пароли, Национальный центр контрразведки и безопасности (NCSC) выпустил сценарий под названием pwauditor, который использует модуль под названием DSInternals.

Сначала загрузите файл .zip или клонируйте репо, найденное здесь, на GitHub.com.

Затем разархивируйте файл в папку по вашему выбору. После загрузки этого сценария вам необходимо установить модуль DSInternals. Вы можете сделать это с помощью этой команды:

Установить модуль-имя DSInternals -RequiredVersion 2.22

Как найти взломанные пароли с помощью PowerShell

Добавление модуля DSInternals PowerShell

Когда вы устанавливаете модуль, он помещает его в следующий каталог:

C: Program Files WindowsPowerShell Modules DSInternals 2.22

Скопируйте родительский каталог «DSInternals» в распакованный каталог для загрузки pwauditor. Кроме того, вам нужно будет разместить все файлы в каталоге 2.22 внутри родительского каталога DSInternals. Структура каталога будет выглядеть так:

Найти взломанные пароли-2

Древовидное представление утилит pwauditor и DSInternals, объединенных в одной папке

Теперь запустите вашу команду следующим образом:

. pwauditor -DC dctest1.neptune.local -NC «dc = neptune, dc = local» -blacklists top_10.txt, top_100.txt, top_1000.txt, top_10000.txt, top_1000_mangled.txt -организация NEPTUNE

Найти взломанные пароли-3

Запуск команды pwauditor

При выполнении команды создаются файлы «results.txt» и «results.json». Оба отображают одинаковую информацию.

Вы можете увидеть, сколько паролей, содержащихся в списках взломанных паролей, было найдено.

Найти взломанные пароли-4

Просмотр файла results.txt

Обратной стороной файла результатов является то, что он только сообщает вам, что он нашел пароль в учетных записях пользователей, которые искали, но не сообщает вам, какая учетная запись пользователя затронута. Кроме того, использование простых списков паролей означает, что организации становятся уязвимыми. Проверка учетных записей на наличие больших баз данных взломанных паролей в сочетании с защитой в реальном времени от паролей, используемых в живых атаках методом грубой силы, необходима для обеспечения безопасности паролей среди современных угроз кибербезопасности.

Более простой подход, чем PowerShell, — использование аудитора паролей Specops.

Аудитор паролей Specops

Хотя PowerShell, безусловно, может обеспечить видимость, отсутствующую в собственных возможностях Active Directory, его использование и обслуживание может быть затруднительным. Вы также можете найти ресурсы с открытым исходным кодом, такие как сценарий NCSC. Однако эти типы ресурсов могут не поддерживаться активно, могут содержать ошибки и могут не отображать требуемые взломанные пароли.

Аудитор паролей Specops это свободно доступный инструмент, позволяющий находить взломанные пароли в Active Directory. Он быстро сканирует среду на наличие взломанных паролей из нашего объединенного списка из 750 миллионов + известных взломанных паролей и может показать вам энтропию администратора, повторяющиеся пароли, соответствие политике и многое другое.

Обратите внимание на следующий результат выполнения программы Specops Password Auditor. Помимо прочего, вы быстро заметите взломанные пароли. Кроме того, это не оставляет вопросов об учетных записях, использующих взломанные пароли.

Аудитор паролей Specops

Specops Password Auditor отображает результаты сканирования

Подведение итогов

Поиск взломанных паролей в Active Directory является приоритетом для организаций, стремящихся повысить безопасность своих учетных записей. Однако в Active Directory изначально нет функции, позволяющей отслеживать взломанные пароли, используемые в среде. Использование различных инструментов PowerShell, как показано выше, может помочь увидеть взломанные пароли, несмотря на несколько собственных проблем, включая управление жизненным циклом и поддержку.

К счастью, Аудитор паролей Specops это бесплатный и простой инструмент, который позволяет быстро просматривать любые учетные записи в среде, используя взломанные пароли и другие проблемы безопасности.

Аудитор паролей Specops .

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *