Unmasking a slow and steady password spray attack
a year ago
- #password-spray-attack
- #Microsoft-Azure
- #cybersecurity
- 攻击者采用缓慢而稳定的密码喷洒攻击,一周内针对24个用户发起攻击,每个用户尝试不超过2次以避免触发检测。
- 通过分析租户整体活动而非单个用户时间线,发现了跨多个用户的攻击模式,从而识别出此次攻击。
- 攻击者使用2001:0470:c8e0::/48范围内的IP地址进行隐蔽,这些地址混在数据中心流量中难以被发现。
- 关键启示在于:需要创造性地分析租户整体活动日志,才能发现隐藏的攻击模式。