Credential Stuffing Detection ¶

Credential stuffing, hackerların farklı web sitelerindeki kullanıcı hesaplarına yetkisiz erişim sağlamak için ele geçirilmiş kullanıcı kimlik bilgileri listelerini kullanmalarıyla gerçekleştirilen bir siber saldırıdır. Bu makale, Wallarm'ın Credential Stuffing Detection özelliğini kullanarak bu tür tehditlerin nasıl tespit edileceğini açıklamaktadır.

Credential stuffing saldırısı, aynı kullanıcı adı ve şifrenin farklı servislerde yeniden kullanılması uygulaması ve kolay tahmin edilebilir (zayıf) şifre seçiminden dolayı tehlikelidir. Başarılı bir credential stuffing saldırısı daha az deneme gerektirdiğinden saldırganlar istekleri çok daha seyrek gönderebilir, bu da kaba kuvvet koruması gibi standart önlemleri etkisiz hale getirir.

Wallarm, Credential Stuffing ile Nasıl Mücadele Ediyor¶

Wallarm'ın Credential Stuffing Detection özelliği, ele geçirilmiş veya zayıf kimlik bilgilerini kullanarak uygulamalarınıza erişim sağlama girişimlerine ilişkin gerçek zamanlı bilgileri toplar ve görüntüler. Ayrıca bu tür girişimler hakkında anında bildirim almayı ve uygulamalarınıza erişim sağlayan tüm ele geçirilmiş veya zayıf kimlik bilgilerinin indirilebilir bir listesini oluşturmayı sağlar.

Ele geçirilmiş ve zayıf şifreleri belirlemek için Wallarm, kamuya açık HIBP ele geçirilmiş kimlik bilgileri veritabanından toplanan 850 milyondan fazla kayıt içeren kapsamlı bir veritabanı kullanır.

Wallarm'ın Credential Stuffing Detection, aşağıdaki eylem sırasını uygulayarak kimlik bilgilerini güvende tutar:

İstek node'a ulaştığında, şifreden SHA-1 oluşturur ve buluta birkaç karakter gönderir.
Bulut, aldığı karakterlerle başlayan ele geçirilmiş şifreleri aramak için bilinen şifreler veritabanını kontrol eder. Eğer bulunursa, şifreler node'a SHA-1 şifreleme formatında gönderilir ve node, istekteki şifre ile karşılaştırır.
Eşleşme olması durumunda, node bu saldırı bilgilerine istekten alınan giriş bilgisini ekleyerek credential stuffing saldırısını buluta bildirir.
Node, isteği uygulamaya iletir.

Bu sayede, Wallarm node'larının bulunduğu makinelerden şifreler hiçbir zaman şifrelenmemiş halde Wallarm Cloud'a gönderilmez. Kimlik bilgileri eşzamanlı gönderilmediğinden, istemci yetkilendirme verileri ağınız içinde güvende kalır.

Toplu ve Tekil Denemeler

Credential Stuffing Detection, botlar tarafından gerçekleştirilen ele geçirilmiş kimlik bilgileri toplu kullanım denemeleri ile diğer yöntemlerle tespit edilemeyen tekil denemeleri kaydetme kapasitesine sahiptir.

Önlem Alınması Gerekenler

Çalınmış veya zayıf şifreye sahip hesapların bilinmesi, hesap sahipleri ile iletişime geçme, geçici olarak hesap erişimini durdurma gibi önlemleri uygulamanıza olanak tanır.

Wallarm, şifreler zayıf veya ele geçirilmiş olsa bile meşru kullanıcıları engellememe amacıyla ele geçirilmiş kimlik bilgilerini içeren istekleri engellemez. Ancak, credential stuffing girişimleri aşağıdaki durumlarda engellenebilir:

Tespit edilen kötü niyetli bot faaliyetlerinin bir parçasıysa ve API Abuse Prevention modülünü etkinleştirdiyseniz.
Diğer saldırı belirtileri içeren isteklerin parçasıysa.

Etkinleştirme¶

Wallarm'ın Credential Stuffing Detection özelliğini etkinleştirmek için:

Abonelik planınızın Credential Stuffing Detection özelliğini içerdiğinden emin olun. Abonelik planını değiştirmek için sales@wallarm.com adresine talep gönderin.
Wallarm node'unuzun, belirtilen artefaktlardan biri kullanılarak dağıtılmış version 4.10 veya daha yüksek bir sürüm olduğundan emin olun:
Kullanıcınızın rolünün Credential Stuffing Detection yapılandırmasına izin verdiğinden emin olun.
Wallarm Console → Credential Stuffing bölümünde, özelliği etkinleştirin (varsayılan olarak devre dışıdır).

Credential Stuffing Detection etkinleştirildikten sonra, çalışmaya başlaması için bir yapılandırma yapılmalıdır.

Yapılandırma¶

Ele geçirilmiş kimlik bilgileri kullanım girişimlerini kontrol etmek için kimlik doğrulama uç noktalarının listesini oluşturmanız gerekmektedir. Listeyi oluşturmak için Wallarm Console → Credential Stuffing bölümüne gidin.

Listeye uç nokta eklemenin iki yolu vardır:

Önerilen uç noktalar listesinden, iki tür öğe içerir:
- Wallarm'ın, düzenli ifadeler kullanarak yaygın şekilde kullanılan kimlik doğrulama uç noktalarını ve parametrelerini belirten önceden tanımlanmış kuralları.
- API Discovery modülü tarafından bulunan ve gerçekten trafik alan kimlik doğrulama uç noktaları.
Manuel - Kendi benzersiz kimlik doğrulama uç noktalarınızı ekleyebilirsiniz, böylece tam koruma sağlanır. Manuel eklemede, URI ve kimlik doğrulama parametrelerinin aranma biçimini belirtmelisiniz:
- Parametrelerin Tam Konumu ile - Şifre ve giriş bilgilerinin yer aldığı tam uç nokta istek noktalarını belirtmeniz gereklidir.
- Düzenli İfade ile - Şifre ve giriş bilgilerini içeren uç nokta parametreleri, düzenli ifade kullanılarak aranacaktır.

Ele Geçirilmiş Kimlik Bilgisi Kullanım Girişimlerinin Görüntülenmesi¶

Son 7 gün içerisinde ele geçirilmiş kimlik bilgilerini kullanma girişimlerinin sayısı Credential Stuffing bölümünde görüntülenir. Sayaca tıkladığınızda, son 7 gün için tüm credential_stuffing saldırılarının listelendiği Saldırılar bölümüne yönlendirilirsiniz.

Herhangi bir saldırıyı genişleterek, ele geçirilmiş giriş bilgileri listesini görüntüleyebilirsiniz.

Ele Geçirilmiş Kimlik Bilgilerini İçeren CSV Listesinin Alınması¶

Ele geçirilmiş kimlik bilgisi kullanım girişimlerinin toplam sayısı Credential Stuffing bölümünde görüntülenir. Sayaca tıklayınca tarayıcınız, ele geçirilmiş kimlik bilgilerini içeren CSV dosyasını indirecektir.

Bildirim Alma¶

Ele geçirilmiş kimlik bilgilerini kullanma girişimleri ile ilgili anlık bildirimleri e-posta, mesajlaşma aracı veya entegrasyon sistemlerinizden alabilirsiniz. Bu tür bildirimleri etkinleştirmek için, Wallarm Console'un Triggers bölümünde Compromised user account koşuluyla bir veya daha fazla tetikleyici yapılandırın.

Bildirimleri, izlemek istediğiniz uygulama veya sunucu ve yanıt türüne göre daraltabilirsiniz.

Tetikleyici Örneği: Slack'te Ele Geçirilmiş Kimlik Bilgilerinin Kullanım Girişimi Bildirimi

Bu örnekte, ele geçirilmiş kimlik bilgilerinin kullanıldığı yeni bir girişim tespit edildiğinde, yapılandırdığınız Slack kanalına bu konuda bir bildirim gönderilecektir.

Tetikleyiciyi Test Etmek İçin:

US veya EU bulutundaki Wallarm Console → Integrations bölümüne giderek Slack ile entegrasyonu yapılandırın.
Credential Stuffing bölümünde, Credential Stuffing'in etkin olduğunu doğrulayın ve Önerilen uç noktalar listesinden aktif Authentication endpoints listesine Wallarm'ın önceden tanımlanmış aşağıdaki kuralını ekleyin:

İstek:
```
/**/{{login|auth}}.*
```
Şifre burada konumlanmıştır:
```
([^/](|((api|current|new|old|plain)(|\.|-|_)))(pass(|word|wd))|^pass(|wd|word))$
```
Giriş bilgisi burada konumlanmıştır:
```
^((w+.)|_|.|)(login|user|auth)(|_|-.)(user|client|auth|id|name|)(|[\d])$
```
Triggers bölümünde yukarıda gösterildiği gibi bir tetikleyici oluşturun ve bunu kendi Slack entegrasyonunuza eşleyin.
Node'unuzun localhost/login uç noktasına ele geçirilmiş kimlik bilgilerini içeren bir istek gönderin:
```
curl -X POST http://localhost/login -d '{"password": "123456", "user": "user-01@company.com"}'
```
Attacks bölümünde, isteğinizin credential_stuffing türünde, ele geçirilmiş kimlik bilgilerini kullanma girişimi olarak kaydedildiğini kontrol edin.
Saldırıyı genişleterek, ele geçirilmiş giriş bilgilerinin doğru şekilde listelendiğini doğrulayın.

Slack kanalınızdaki mesajları kontrol edin. Yeni mesaj aşağıdaki gibi görünmelidir:

[wallarm] Stolen credentials detected

Notification type: compromised_logins

Stolen credentials have been detected in your incoming traffic:

Compromised accounts: user-01@company.com
Associated URL: localhost/login
Link: https://my.wallarm.com/attacks/?q=attacks+d%3Alocalhost+u%3A%2Flogin+statuscode%3A404+application%3Adefault+credential_stuffing+2024%2F01%2F22

Client: YourCompany
Cloud: EU

Sınırlamalar¶

Şu anda, Credential Stuffing Detection modülü aşağıdaki şekilde dağıtılan Wallarm node'larında desteklenmemektedir: