字典攻击是一种常见的网络攻击手段，攻击者通过构建和使用各种字典文件，尝试破解用户密码，进而获取系统的访问权限。在如今复杂的网络环境中，随着技术的发展和信息泄露的频繁，字典攻击的手段也日益多样化。本文结合多个实际案例，详细分析了字典构建、密码暴破的各类方法及其防御策略，旨在帮助企业和安全团队有效应对这些威胁。

字典构造与攻击手段

字典构造基础

字典构造是字典攻击的基础，通常分为间接和直接收集方式。间接方式包括利用社交工程、公开信息和已泄露的数据；直接方式则包括通过网络扫描、信息探测等手段获取目标系统的用户名和密码元素。

间接信息收集

间接信息收集是指在不与目标系统直接交互的情况下，收集可能用于字典构建的信息。这包括从社交媒体、公开泄露的数据库、企业备案信息等途径获取的用户名、邮箱地址、密码习惯等。

1. 社交工程攻击：攻击者利用人类心理弱点（如信任、好奇、贪婪等），通过欺骗手段获取用户信息。例如，攻击者可能伪装成客户服务人员，向目标用户索要密码信息。

2. GitHub 泄露：GitHub 作为全球最大的代码托管平台，托管着大量的开源代码，某些代码库可能包含敏感信息（如明文密码）。攻击者可以通过特定搜索语法，快速检索目标单位是否有敏感信息泄露。

3. ICP 备案信息：在中国境内运营的网站必须进行 ICP 备案，这些信息是公开的，攻击者可以利用这些信息进一步挖掘目标企业的域名、子公司名称等，进而获取更多有价值的信息。

直接信息收集

直接信息收集是在与目标系统直接交互的过程中，收集用户名和密码元素的过程。常见的直接信息收集手段包括网络扫描、探测开放端口及服务等。

1. 网络扫描与端口探测：攻击者通过扫描目标网络，探测出开放的端口和运行的服务，针对这些服务尝试使用弱密码进行暴破攻击。常见的易受攻击的服务包括 FTP、Telnet、Web 应用、数据库服务等。

2. 社工库利用：社工库是指通过非法手段收集的互联网泄露的用户数据集合。攻击者利用这些数据，通过“撞库”手段尝试登录其他平台，获取更多的用户信息。

常见的攻击手段与案例分析

在实际攻击中，攻击者会根据收集到的信息，构建针对性强的字典文件，通过密码暴破等手段尝试获取系统的访问权限。以下是几种常见的攻击手段与案例分析。

GitHub 泄露

GitHub 泄露是攻击者常用的收集敏感信息的手段之一。在某案例中，攻击者通过检索公开的代码库，发现某知名云服务商的员工办公邮箱账号和密码，这些信息被进一步用于登录内部系统，导致严重的安全问题。

邮箱地址暴破

通过收集目标用户在网络上暴露的邮箱地址，攻击者可以快速分析出邮箱命名规律，并结合常用的姓氏与名字字典，生成大量的邮箱用户名列表。接下来，攻击者可以使用这些邮箱用户名列表，结合常见弱密码字典，进行暴破攻击，尝试获取目标系统的登录权限。

攻击者字典构造策略

构建高效的字典是字典攻击的关键步骤之一。以下是几种常见的字典构造策略：

用户名构造策略

1. 电子邮件用户名：通过收集目标的电子邮件地址，使用常见的电子邮件命名规则（如firstname.lastname@example.com）生成用户名。
2. 手机号码：利用目标的手机号码作为用户名，因为很多系统允许用户使用手机号码登录。
3. 常见用户名组合：基于员工 ID、姓名拼音等生成各种组合，如zhangsan、zhang.san等。
4. 默认用户名：利用系统默认的用户名（如admin、root）生成字典。
5. 社交媒体用户名：从社交媒体平台收集用户名，生成字典。

密码构造策略

1. 常见弱密码：如123456、password、qwerty等。
2. 基于个人信息：结合目标的姓名、生日、电话号码等信息生成密码，如Zhangsan123、19870515等。
3. 键盘模式密码：根据键盘上的字符排列生成密码，如qwerty、asdfgh等。
4. 组合密码：将常见密码与特殊字符和数字结合，生成更复杂的密码，如Password123!、Admin@2021等。
5. 短语密码：使用短语或常用语句生成密码，如ILoveYou、LetMeIn等。
6. 企业相关信息：结合公司名称、部门名称生成密码，如Company2023、ITAdmin等。
7. 密码变体：对已知密码进行变体处理，如增加前缀、后缀或替换部分字符，如P@ssw0rd、P@ssword123!等。

典型攻击案例

攻击者通过收集某公司内部的 WiFi 密码，获得内网访问权限后，利用简单的弱密码进行初步攻击，成功获取了管理设备的权限。之后，攻击者通过 Zerologon 漏洞获取了域控制权，进一步侵入了公司 OA 系统，最终窃取了大量敏感数据。

防御策略

应对字典攻击，企业需要结合技术手段与安全意识教育，实施多层次的防御策略。

密码策略

1. 及时更改初始密码：如果系统提供了初始密码，应立即修改，以确保账户的安全性。
2. 复杂密码要求：密码应包含大小写字母、数字和特殊字符，长度至少为 8 个字符。
3. 定期更换密码：建议每三个月更换一次密码，减少密码被猜测和破解的可能性。
4. 避免使用常见密码：选择独特且难以预测的密码组合，避免使用容易被猜到的弱口令。
5. 个人信息保护：不要将个人、亲友或宠物的名字作为密码，以防个人信息泄露带来的安全隐患。
6. 工作与私人密码分离：避免在密码中使用与工作相关的专业术语或职业特征，减少密码被专业人士破解的机会。
7. 使用密码管理器：生成、存储和管理复杂密码，减少重复使用密码的风险。

多因素认证与账户保护

1. 多因素认证（MFA）：除密码外，增加额外的验证步骤，如短信验证码或手机认证应用。
2. 限制登录尝试次数：在连续失败登录尝试后，暂时锁定账户，防止暴力破解。
3. 域名隐私保护：对于新申请的域名，要求域名商开启域名隐私保护功能，以增强域名的安全性。
4. 日志记录与监控：定期检查登录日志，及时发现和响应可疑活动。
5. 禁用无用账户：关闭 guest 和匿名账户，删除长期不用的系统账户和测试账户。

特权帐号管理

1. 账号全生命周期管理：实现对系统账号及应用账号的新建、改密、删除等全周期管理，确保账号的安全性和合规性。
2. 密码保险库：采用独立的密码保险库设计，确保账号密码存储的安全性。
3. 应用业务支持：支持中间件业务系统中应用内嵌账号的管理，消除配置文件和业务系统中的明文密码。
4. 运维管理：与堡垒机及日志审计功能结合，简化密码安全管理，降低密码泄露风险。
5. 账号发现：自动发现多种类型的特权账号信息，确保账号的完整可见性与安全性。
6. 密钥管理：自动生成、部署、轮换SSH密钥，确保登录密钥的安全性。
7. 按需特权访问：建立基于运维事件的按需访问授权与审核机制，防范内部威胁。
8. 数据库权限控制：对主流关系型数据库进行鉴权，防止关键数据窃取和破坏风险。

内网防护策略

在内网环境中，管理员应特别关注域环境中的密码策略，确保内网系统的安全性。

1. 禁用无用账户：关闭不必要的账户，删除长期未使用的账户。
2. 强密码要求：密码应包含大写字母、小写字母、数字和特殊字符，且定期更换。
3. 及时更新与安装安全软件：确保操作系统和所有软件及时更新补丁，安装防病毒软件和防火墙。
4. 多因素认证（MFA）：增加额外的验证步骤，如短信验证码或手机认证应用。
5. 加密存储：确保所有存储的密码都经过强加密处理，避免明文存储。
6. 定期监控网络活动：定期检查网络中的可疑活动，及时发现和应对可能的攻击。

日志分析与监控

日志分析是渗透测试和安全审计中的关键一步。通过有效的日志分析，可以识别系统是否遭受攻击，并采取适当的防御措施。

重点资产筛选

在面对大量资产时，不可能对所有资产进行全面排查。因此，需优先筛选以下几类资产：

1. 历史上曾被攻陷的资产：包括在以往的红蓝对抗、攻防演练或真实黑客攻击中被攻陷的主机。这些资产可能仍然存在安全隐患，或者在修复过程中遗漏了某些漏洞。
2. 互联网暴露的脆弱资产：这些资产通过互联网直接暴露，且使用了高危漏洞频发的组件或应用，如 Weblogic、JBoss、Fastjson、Shiro、Struts2 等。
3. 关键资产：如域控制器、数据库服务器、邮件服务器等，这些资产的失陷可能导致大量主机失陷或敏感数据泄露，因此应优先排查。

日志分析研判流程

通过日志分析，可以判断是否存在暴力破解的行为。例如，当攻击者尝试通过暴力破解进入系统时，无论是否成功，日志中都会记录相关信息。关注的事件 ID 主要有 4624（成功登录）和 4625（登录失败）。例如，如果登录失败次数过多，达到一定次数且分布在一个不合理的时间段，可能存在暴力破解行为。

远程桌面连接日志

攻击者可能通过远程桌面服务会话进行攻击，远程桌面连接日志是检测此类攻击的重要数据来源。日志中的关键事件 ID 包括 1149（用户认证成功）、21（远程桌面服务会话登录成功）、24（远程桌面服务会话断开）等。

防暴破策略总结

应对多样化的字典攻击，关键在于综合利用技术手段和安全意识教育，构建多层次的防御体系。通过复杂密码策略、多因素认证、内网防护、日志分析与监控等多种措施，企业可以有效降低遭受字典攻击的风险，确保系统和数据的安全。