Password et hash spraying
Le password spraying consiste à tester un ou quelques mots de passe communs (saison + année, nom de l'entreprise…) contre l'ensemble des comptes du domaine, ce qui contourne les politiques de lockout par compte. Le hash spraying applique le même principe avec un hash NTLM (pass-the-hash distribué). Outils principaux : kerbrute, netexec, DomainPasswordSpray.
Depuis Linux¶
Utilisation de kerbrute pour faire du password spraying sur une liste d'utilisateur et un password¶
password spraying via netexec¶
Hash spraying avec netexec¶
Depuis Windows¶
https://github.com/dafthack/DomainPasswordSpray
Import-Module .\DomainPasswordSpray.ps1
Invoke-DomainPasswordSpray -Password Welcome1 -OutFile spray_success -ErrorAction SilentlyContinue
| Catégorie | Information | |
|---|---|---|
| TTP | Tentatives d'accès par essais de mots de passe communs sur de nombreux comptes | |
| CWE | CWE-307 (Improper Restriction of Excessive Authentication Attempts) | |
| Description de l'attaque | Le Password Spraying consiste à tester un ou quelques mots de passe courants contre un grand nombre de comptes utilisateurs, réduisant ainsi le risque de détection par rapport aux attaques de force brute classiques. | |
| Impacts potentiels | - Accès non autorisé à de multiples comptes - Compromission de la sécurité des informations - Potentiel d'attaques plus larges sur le réseau |
|
| Comment la détecter | - Surveillance des tentatives de connexion échouées sur de nombreux comptes - Analyse des journaux pour identifier les modèles d'accès suspects - Utilisation de solutions de détection d'intrusion |
|
| Remédiations/mitigations | - Mise en œuvre de l'authentification multi-facteurs (MFA) - Politiques de mots de passe forts et variés - Verrouillage de compte après un nombre limité de tentatives échouées - Formation et sensibilisation des utilisateurs sur la sécurité des mots de passe |
|
| Lien de référence | OWASP - Password Spraying Attack |