부실한 비밀번호 관리의 위험성을 강조하는 체커와 브루트 포스
전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.
레코디드 퓨처는 레코디드 퓨처 플랫폼(® )의 최신 데이터, 정보 보안 보고, 기타 오픈 소스 인텔리전스(OSINT)를 분석하여 위협 행위자의 캠페인을 촉진하는 체커와 브루트 포스를 식별했습니다. 이 보고서는 이 시리즈의 첫 번째 보고서인 "데이터베이스 침해는 여전히 조직의 가장 큰 사이버위협 "에 이어 " 지하 경제의 자동화 혁명에 맞서기 " 보고서에서 다룬 결과를 확장한 것입니다. 이 보고서는 보안 위험 관리 및 완화를 담당하는 네트워크 방어자, 보안 연구원 및 경영진이 가장 관심을 가질 만한 보고서입니다.
Executive Summary
체커와 브루트 포스는 범죄 언더그라운드에서 판매되고 공유되는 인기 도구입니다. 일부는 올인원 크리덴셜 스터핑 공격 플랫폼인 반면, 다른 공격 플랫폼은 기업별로 다릅니다. 이러한 도구는 숙련되지 않은 사이버 범죄자들이 금융 및 개인 데이터를 훔치거나 웹쉘과 스니퍼를 설치하거나 단순히 다크웹에서 액세스 권한을 재판매하여 수익을 얻는 등 조직의 사이트에 대한 다양한 자동화된 무차별 대입 공격을 실행하는 데 도움이 됩니다.
인식트 그룹이 식별한 새로운 검사기이자 무차별 대입 도구인 이 도구는 이 보고서에서 '빅 브루트 포서'로 프로파일링됩니다. 이 도구는 웹사이트, 웹 서버, 웹사이트 빌더, 전자상거래 플랫폼, 고객 관계 관리(CRM) 시스템, 파일 전송 프로토콜(FTP)과 같은 기타 네트워크 프로토콜을 대상으로 설계되었습니다. 사용 편의성과 개발자 지원을 통해 필요한 기술이나 침입 인프라가 부족한 사이버 범죄자도 이커머스 웹사이트 및 플랫폼에 액세스하여 고객 데이터를 훔칠 수 있습니다.
또한 이 보고서 말미에 비밀번호 위생을 개선하기 위한 제안과 같은 몇 가지 완화 전략을 제시하고 있으며, 이러한 전략을 따르지 않는 한 사이버 범죄자들은 계속해서 체크커와 브루트 포스를 통해 데이터를 탈취하고 수익을 창출할 수 있는 쉬운 방법을 찾게 될 것입니다.
주요 판단
체커와 브루트 포스를 사용하는 사이버 범죄자들의 영향을 가장 많이 받는 산업은 소프트웨어, 미디어 및 엔터테인먼트, 전자상거래, 금융 및 통신 분야입니다.
위협 행위자는 계정을 검증하고 액세스 권한을 얻기 위해 범죄 조직에서 사용할 수 있는 자동화된 검사기와 무차별 대입기를 사용합니다.
비밀번호 재사용과 부실한 비밀번호 관리 위생은 인증정보 스터핑 공격을 성공으로 이끄는 주요 문제 중 하나입니다.
배경
데이터베이스 침해로 얻은 자격 증명을 갖춘 공격자는 체커와 무차별 대입 공격을 통해 웹사이트에 대규모 자동 로그인 요청을 보내 피해자 계정의 유효성을 확인하고 무단 액세스 권한을 획득하는 자격 증명 스터핑 공격을 수행할 수 있습니다. 범죄자는 최소 550달러만 투자하면 유출된 로그인 인증 정보를 판매하여 최소 20배의 수익을 올릴 수 있습니다. Akamai는 2019년에 18개월 동안 금융 기관을 겨냥한 35억 건 이상의 크리덴셜 스터핑 요청을 탐지했다고 보고했습니다.
레코디드 퓨처가 2019년 보고서에서 분석한 대부분의 체커와 브루트 포스는 여전히 범죄자들이 널리 판매하고 사용하며, 일부는 2016년부터 사용되어 온 제품도 있습니다. 이러한 도구의 지속적인 효과는 부분적으로는 위협 행위자가 비밀번호 재사용을 활용할 수 있는 열악한 비밀번호 위생 상태 때문입니다.
도둑들 사이에는 명예가 없으며, 이러한 체커와 브루트 포스 중 일부는 크랙되어 관심 있는 사이버 범죄자는 원래 판매자가 제공하는 것보다 저렴한 가격 또는 완전히 무료로 이러한 도구를 사용할 수 있습니다.
체커
검사기는 사이버 범죄자가 사용자 로그인 자격증명 조합의 유효성을 일괄적으로 검사하는 데 사용하는 자동화된 도구(스크립트 또는 소프트웨어)입니다. 확인자는 웹사이트의 메인 페이지, 모바일 앱 또는 API(애플리케이션 프로그램 인터페이스) 기능을 사용하여 유효한 계정을 식별할 수 있습니다.
크리덴셜 스터핑 공격에서 위협 행위자는 데이터 유출로 인해 자주 획득한 사용자 이름과 비밀번호 데이터베이스를 사용합니다. 예를 들어, 공격자는 2012년에 발생한 1억 7천만 개의 계정이 유출되어 2016년에 다크웹에 유출된 LinkedIn 데이터 유출 사고에서 자격 증명을 획득했을 수 있습니다( 해당 LinkedIn 계정 중1,135,936개가 비밀번호 '123456'을 사용함). 위협 행위자는 사용자가 여러 웹사이트와 플랫폼에서 동일한 비밀번호를 자주 재사용한다는 사실을 알고 있기 때문에 공격자는 LinkedIn 데이터베이스 침해에서 얻은 이메일과 비밀번호 조합을 사용하여 이메일이나 은행 계좌와 같은 다른 피해자 계정에 무단으로 액세스할 수 있는지 확인합니다. 검사기는 사용자 계정과 개인 식별 정보(PII)에 더 쉽고 빠르게 액세스할 수 있도록 자격 증명 스터핑 공격을 자동화하고 상품화합니다. 실제로 체커는 합법적인 로그인 시도보다 4배 이상 많은 수의 로그인을 시도할 수 있습니다.
브루트 포스
브루트 포스는 자동화된 서버 요청을 통해 사용자 계정에 액세스하는 데 사용되는 자동화된 비밀번호 크래킹 도구입니다. 이러한 도구는 시행착오를 거치거나 사전 공격을 통해 비밀번호 또는 사용자 이름을 추측하고 크랙을 시도하여 공격자가 특정 사용자 또는 웹사이트의 비밀번호를 빠르게 추측할 수 있도록 도와줍니다. 데이터 덤프에서 얻은 사용자 이름과 같은 일부 정보도 공격자가 무차별 암호 대입을 사용하여 비밀번호를 쉽게 알아낼 수 있게 해줍니다.
위협 분석
다음은 성공적인 크리덴셜 스터핑 공격으로 인해 발생한 몇 가지 주목할 만한 침해 사례입니다:
2019년 7월, 미국 은행 및 보험 회사인 State Farm은 '악의적인 공격자 '가 State Farm 온라인 계정의 유효한 사용자 이름과 비밀번호를 확인할 수 있는 크리덴셜 스터핑 공격을 받았다고 밝혔습니다.
2020년 1월, 아마존 소유의 스마트 카메라 제조업체인 Ring은 자녀 침실에 있던 카메라가 해킹당한 가족으로부터 소송을 당했습니다. 범죄자들은 일반적인 비밀번호 목록을 사용하여 가족의 Ring 카메라 계정에 무차별적으로 침입한 것으로 추정됩니다.
2020년 1월 30일, 테크크런치는 120만 명의 승객에게 영향을 미친 인도 항공사 스파이스젯의 보안 침해에 대해 보도했습니다. 보도에 따르면, 스파이스젯 내부 시스템에 대한 액세스 권한은 시스템의 쉽게 추측할 수 있는 비밀번호를 무차별 대입하는 방식으로 획득한 것으로 알려졌습니다.
이러한 유형의 공격은 피해자가 여러 온라인 플랫폼에서 동일한 로그인 정보(사용자 이름 및 비밀번호)를 재사용하는 경우 성공 가능성이 훨씬 더 높습니다. 서던 캘리포니아 대학교의 연구에 따르면 "비밀번호 재사용은 만연하고 무분별하며, 98%의 사용자가 비밀번호를 그대로 재사용하고 84%가 중요하지 않고 보안이 취약한 사이트에서 중요한 비밀번호를 재사용하며, 비밀번호 재사용의 주요 원인은 위험성에 대한 이해 부족과 보안보다 암기성을 선호하기 때문"이라고 합니다.
체커와 브루트 포스를 사용하는 사이버 범죄자들이 가장 많이 공격하는 산업은 소프트웨어, 미디어 및 엔터테인먼트, 이커머스, 금융, 통신 분야입니다. 아래 이미지는 다크웹 소스 수집을 기반으로 6개월간의 타임라인을 통해 영향을 받은 분야를 보여줍니다.
사이버 범죄자들은 일반적으로 다크웹에서 사용 가능한 자동화된 사용자 지정 및 '기성품' 도구와 함께 수천 개의 인증 정보가 포함된 목록을 사용합니다. 많은 도구가 '구성'이라고 하는 사용자 지정 플러그인을 무제한으로 지원하므로 사이버 범죄자는 온라인에 존재하는 거의 모든 회사를 표적으로 삼아 계정을 탈취할 수 있습니다. 넷플릭스, 페이스북, 인스타그램, 스포티파이 등 유명 기업을 타겟팅하기 위해 만들어진 잘 알려지지 않은 도구도 있습니다. 조직에서 특정 브랜드나 단체에 대한 검사기 광고를 보게 되면 해당 조직에 대한 크리덴셜 스터핑 공격이 증가할 수 있다는 전조일 수 있습니다.
이러한 자동화된 도구는 공격자가 은행, 전자상거래, 로열티 또는 보상 프로그램, 소셜 미디어, 온라인 암호화폐 지갑 등 다양한 계정에 대해 유출된 사용자 이름과 비밀번호를 사용하는 데 도움이 됩니다. 공격자가 계정에 액세스하면 사용 가능한 자금과 리워드 포인트를 빼내거나 개인 및 금융 정보(예: 신용카드 데이터)를 훔치거나 사기 및 신원 도용을 시도합니다. 자동화된 무차별 대입 도구의 경우 공격자는 가장 일반적인 조합이 포함된 일반적인 비밀번호 목록을 먼저 사용하는 경우가 많습니다.
범죄 언더그라운드의 많은 포럼에는 특히 보이스피싱과 체커에 대한 판매 및 토론을 다루는 섹션이 있습니다. 저희가 관찰한 한 포럼에는 크리덴셜 스터핑 공격과 체커 소프트웨어 판매에 관한 수천 개의 스레드가 있으며, 그 이유는 당연합니다: 포럼 토론에 따르면, 하나의 검사 도구가 5,400개의 이메일 주소 데이터베이스를 검사하고 성공적인 로그인 및 비밀번호 조합을 공격자에게 반환하는 데 90초밖에 걸리지 않는다고 합니다. 이 도구는 범죄 조직에서 단 12달러에 판매되고 있습니다.
이러한 도구가 없다면 위협 행위자는 직접 도구를 만들거나 기존 도구를 구성하고, 공격을 시작할 봇넷을 만들거나 임대하고, 공격 인프라를 호스팅할 방탄 서버를 임대해야 합니다.
브루트 포스 1 자세히 살펴보기
범죄 언더그라운드에서 발견한 도구 중 하나인 '빅 브루트 포서'는 1,000달러의 '베이직'과 2,500달러의 '프로'라는 두 가지 버전으로 제공됩니다. 더 비싼 '프로' 버전은 구매자에게 계정 확인 및 무차별 대입을 위한 전체 도구 세트와 인프라를 제공합니다. 이 특정 도구를 선택한 이유는 참신성, 비즈니스에 미치는 영향, 자동화 기능 때문이었습니다.
빅 브루트 포스는 봇넷을 사용하여 무차별 대입 공격을 수행하며, 여러 컴퓨터에 컴퓨팅 워크로드를 분산하고 여러 IP에서 로그인 시도를 허용합니다. 대량 대입 공격에 여러 IP를 사용하면 사이버 범죄자는 수백 개의 서로 다른 IP 주소에서 피해자 계정에 접속을 시도하여 단일 공격의 출처를 숨길 수 있습니다. 빅 브루트 포서는 숙련되지 않은 사이버 범죄자라도 웹사이트와 온라인 리소스에 대한 다양한 무차별 대입 공격을 자동화된 방식으로 쉽게 실행할 수 있는 기능을 갖추고 있습니다:
빅 브루트 포서는 웹 기반 애플리케이션으로, 구매자가 명령줄을 열거나 전문적인 기술 지식 없이도 무차별 대입 공격을 시작할 수 있는 다양한 옵션을 제공합니다.
빅브루트포스는 설치 및 구성에 대한 기술 지원을 제공합니다.
구매자는 제어판에 자체 도메인 목록을 사용하거나 Big Brute Forcer 개발자가 제공한 도메인 목록을 사용하여 공격을 제어할 수 있습니다.
빅 브루트 포서는 공격에 사용할 수 있도록 다양한 침해 사례의 비밀번호 조합 사전이 미리 로드되어 있습니다.
사이버 범죄자는 빅 브루트 포스 봇넷을 직접 만들거나 개발자로부터 이미 만들어진 봇넷을 대여할 수 있습니다.
개발자는 직접 구매할 수 있는 방탄 호스팅 서비스를 제공하고 운영합니다.
과거에는 위협 공격자가 무차별 암호 대입 공격을 성공적으로 수행하려면 여러 단계를 수동으로 거쳐야 했습니다. 공격자들은 유출된 인증 정보를 수집하거나 구매하고, 공격할 도메인과 하위 도메인 목록을 컴파일하고, 일정 수준의 기술력이 필요한 도구를 구성하고, 공격을 시작할 봇넷을 만들고, 마지막으로 제어판을 호스팅할 방탄 호스트의 서버를 빌려야 합니다. 또한 크리덴셜 스터핑 공격에 사용되는 많은 도구에는 공격 대상의 매개 변수를 정의하는 구성 파일이 필요한데, 이 모든 것을 Big Brute Forcer도 제공할 수 있습니다.
이 도구의 그래픽 사용자 인터페이스는 경험이 없는 사용자도 간단하고 쉽게 사용할 수 있습니다. 무차별 대입의 진행 상황, 침해 속도, 성공 및 실패한 액세스 시도의 통계를 확인할 수 있습니다. 또한, 사용자는 유출된 계정의 로그인 포털 링크와 함께 수천 개의 사용자 이름 및 비밀번호 목록으로 바로 이동할 수 있습니다. 사이버 범죄자는 이러한 웹사이트에 관리자 권한으로 액세스하여 고객 PII 및 결제 카드 데이터를 훔칠 수 있습니다. 심지어 빅 브루트 포서는 웹쉘과 백도어를 설치하여 손상된 웹사이트를 직접 감염시키고 도용할 수 있도록 제안하기도 합니다.
또한 개발자는 클라이언트의 설정 프로세스를 신속하게 처리할 수 있도록 빅 브루트 포스 기능을 구성하는 방법에 대한 자세한 YouTube 동영상을 제공합니다. 예를 들어, 한 동영상은 웹사이트를 침해하는 방법을 단계별로 설명하며 그 과정에서 침해된 수십 개의 웹사이트를 보여줍니다. 위협 행위자가 도메인 및 하위 도메인 목록을 업로드하면 30분 이내에 Big Brute Forcer는 크랙된 로그인 및 비밀번호 세부 정보 목록을 반환하고, 개발자는 이를 사용하여 해당 웹사이트에 실시간으로 로그인합니다.
동영상에 등장하는 피해 기업 중에는 전자상거래 및 엔터테인먼트 웹사이트와 고객 PII 및 금융 데이터를 보유한 여행사도 포함되어 있습니다. 빅 브루트 포서는 유럽, 미국, 아시아, 브라질 등 다양한 지역에 기반을 둔 웹사이트와 온라인 리소스를 무차별적으로 침해합니다. 한 예로, 빅 브루트 포서의 개발자는 우수한 보안의 필요성을 강조하고 고객의 보안을 보호하기 위한 자체적인 노력을 강조하는 뉴질랜드에 본사를 둔 보안 회사의 웹사이트에 접속하는 방법을 보여줍니다. 특히 이 회사의 관리자 패널 로그인은 사용자 이름에 'admin'을, 비밀번호에 회사 이름을 사용하여 쉽게 추측할 수 있었습니다.
완화 전략
조직 내 사용자들이 각 계정에 고유한 비밀번호를 사용하도록 인지도를 높이세요. 비밀번호 관리자는 최종 사용자가 고유하고 복잡한 비밀번호를 생성, 저장, 검색하는 데 도움이 됩니다.<
자동화된 인증정보 스터핑 공격에서 공격자의 프로그래밍된 로직을 깨기 위해 로그인 과정에서 추가 세부 정보(예: 캡차 또는 사용자의 성)를 요구합니다.
가능하면 다단계 인증(MFA)을 사용하세요. MFA는 무차별 대입 공격이나 확인 공격이 발생하는 것을 막지는 못하지만, 악의적인 위협 행위자가 로그인을 시도할 경우 추가 인증 계층으로 인해 방해를 받을 수 있도록 추가적인 보안 계층을 제공합니다.
비정상적인 헤더 순서와 사용자 에이전트에 특히 주의하고 유효한 리퍼러를 확인하는 등 사용자 지정 웹 애플리케이션 방화벽 규칙을 설정하세요.
의도적으로 로그인 트래픽을 느리게 하고 속도를 제한하여 공격자를 막습니다. 예를 들어 로그인 시도가 일정 횟수 이상 실패하면 계정을 잠그거나 로그인 요청에 대한 서버 응답 지연을 도입할 수 있습니다.
사용하지 않는 공개 로그인 경로를 제거하고 모바일 및 API 로그인 경로에 대한 제어를 강화하세요.
기준 트래픽 및 네트워크 요청을 통해 웹 서비스의 볼륨 및 요청 유형을 포함한 예기치 않은 트래픽을 모니터링합니다.
Recorded Future를 사용하여 범죄 지하 커뮤니티에서 조직을 노리는 새로운 구성 파일이 있는지 모니터링하고, 해당 파일을 철저히 분석하여 추가 공격 징후를 파악하세요.
Recorded Future를 사용하여 데이터베이스 침해로 인해 유출된 자격 증명을 파악하고, 파악된 후에는 위협을 해결하기 위한 적절한 조치를 취하세요.
클라이언트 비밀번호는 항상 해시 형식으로 저장하세요. 절대로 일반 텍스트로 남겨 두지 마세요. 해싱 알고리즘의 일부로 공격자가 쉽게 도출할 수 없는 소금 값을 포함하세요. 해시는 되돌릴 수 없지만 소금 값을 포함하지 않으면 공격자가 일반적인 비밀번호에 대해 공개적으로 사용 가능한 해시 데이터베이스와 해시를 비교할 수 있습니다.
전망
사이버 범죄자들은 사용자 계정에 무단으로 액세스하는 데 성공하고 지하 경제에서 크랙된 계정을 판매하여 얻은 수익으로 인해 체커와 브루트 포스를 계속 사용할 것입니다. 이러한 관행은 더 나은 비밀번호 위생 관행과 보안 조치가 시행될 때까지 기업과 개인 사용자를 계속 위협할 것입니다. 레코디드 퓨처는 다크웹에서 광고되고 논의되는 체커와 브루트 포스를 지속적으로 모니터링하여 고객에게 방어 전략을 강화할 수 있는 방법을 알려줍니다. 레코디드 퓨처 플랫폼을 사용하면 클라이언트는 브랜드 또는 기업을 표적으로 삼는 도구를 식별할 수 있으며, 이는 해당 브랜드 또는 기업에 대한 공격이 증가할 수 있음을 나타냅니다.
관련