크리덴셜 스터핑 공격의 경제성 [보고서]

Click Here 를 클릭하여 전체 분석 내용을 PDF로 다운로드하세요.

This report covers the current threat landscape of credential stuffing attacks. It reviews the most popular tools used by cybercriminals to initiate credential stuffing and describes some of the most popular marketplaces that sell compromised credentials. This report contains information gathered using the Recorded FutureⓇ Platform, as well as additional open source, dark web, and underground forum research, and will be of most interest to analysts protecting e-commerce, telecommunications, and financial organizations from credential stuffing attacks, as well as those looking for investigative leads on threat actors performing such attacks.

Executive Summary

계정 확인 소프트웨어, 이메일 및 비밀번호 조합 목록, 프록시 서비스 제공업체와 같은 지원 인프라의 광범위한 가용성에 힘입어 다크웹에서 자동화된 마켓플레이스가 빠르게 확산되면서 전자상거래, 금융 서비스, 여행 웹사이트, 통신사 등 수천 개의 인기 웹 서비스를 악용할 수 있는 완벽한 공격 환경이 조성되고 있습니다. 지난 몇 년 동안 온라인 리테일을 운영하는 거의 모든 대형 기업에서 사용자들이 크리덴셜 스터핑 공격에 노출되었다고 가정해도 무방하며, 일부 기업은 다크웹에서 수백만 개 이상의 노출된 로그인 인증정보를 언제든지 구매할 수 있습니다.

주요 판단

• 2014년 말, 자동화된 지하 마켓플레이스가 확산되는 시기와 맞물려 처음으로 크리덴셜 스터핑 공격이 광범위하게 관찰되었습니다. 공격자들은 계정을 판매할 때 유출된 계정 인증 정보를 빠르고 쉽게 수익화할 수 있다고 제안했습니다. 크리덴셜 스터핑 공격에 가담한 일부 공격자들은 지금도 여전히 활동 중입니다.

• 범죄자들은 최소 550달러만 투자하면 유출된 로그인 인증 정보를 판매하여 최소 20배의 수익을 올릴 수 있습니다.

• 여러 대형 마켓플레이스에서 유출된 로그인 인증정보의 전체 공급량은 수천만 개의 계정을 넘어섰습니다.

• 인식트 그룹은 사이버 범죄자들이 사용하는 계정 확인 소프트웨어의 인기 변종을 최소 6개 이상 확인했지만, 잘 알려지지 않은 변종도 다크웹에서 수십 개나 발견할 수 있습니다.

• 일부 기업에서는 인증정보 스터핑 공격 벡터를 차단하는 다단계 인증(MFA)을 구현할 수도 있지만, 편의성보다 보안을 선택할 준비가 되어 있지 않은 기업도 있습니다.

배경

Around late 2014 and in the beginning of 2015, we observed the widespread adoption of new dark web business models specifically tailored to facilitate a high volume of trades in a fully automated manner. Designed to emulate legitimate retail platforms such as eBay and Amazon, these so-called “automated shops” allow even low-level criminals to become vendors of stolen data, such as compromised login credentials, without having to worry about maintaining their own infrastructure or marketing campaigns. By and large, the adoption of account marketplaces was made possible primarily by the proliferation of account-checking software, or simply “checkers,” used as the main tool in credential stuffing attacks.

위협 분석

Compromised account credentials were always a valuable commodity in the dark web — the number of transactions was relatively small, and they were primarily conducted either on a peer-to-peer basis or via semi-automated markets such as AlphaBay, Silk Road, and Hansa Market. In older models, buyers received their wares only after the seller manually approved the deal and delivered the purchased data. Moreover, sellers had to maintain the listings and communicate with the buyers personally.

그러나 자동화된 상점의 등장으로 수동 개입의 필요성이 사라졌고, 유출된 계정의 비즈니스는 P2P 거래에서 훨씬 더 민주화된 모든 사람에게 개방된 기업으로 완전히 전환되었습니다.

For a nominal 10 to 15 percent commission deducted from the amount of each sale, members can upload any number of validated compromised accounts, which in addition to email and password, often include data such as the account holder’s city or state of residency, transaction history, and/or account balance. All of this is valuable data to fraudsters seeking to buy accounts tailored to their specific needs. The vendor’s main focus is replenishing the stock, while all customer support, remittances, and dispute resolutions are handled by the shop’s support team.

Automatic shop listings. Alongside the compromised company name, buyers can see the available balance or loyalty points, the account holder’s place of residency, associated payment cards, the date of the last transaction, and a hostname of the account holder’s login email.

처음에는 소수의 일부 공급업체만이 탈취한 데이터를 주로 공급했지만, 범죄 조직원들 사이에서 기술이 공유되면서 탈취한 인증정보의 비즈니스가 기하급수적으로 성장했습니다.

일반 인터넷 사용자들은 여러 웹사이트에서 동일한 비밀번호를 재사용하는 경향이 있기 때문에 위협 공격자들은 시간이 오래 걸리는 개별 계정에 대한 액세스를 시도하는 대신 무작위로 여러 계정을 해킹하는 데 집중하여 노력을 줄여야 한다는 것을 금방 알게 되었습니다.

여러 요소의 조합으로 인해 다양한 온라인 서비스 계정의 해킹이 쉬워졌을 뿐만 아니라 수익성도 엄청나게 높아졌습니다. 크리덴셜 스터핑 공격이라고도 하는 계정 무차별 대입 공격을 시작하려면 공격자는 무차별 대입 소프트웨어, 임의의 이메일 및 비밀번호 조합 데이터베이스, 프록시 풀에 대한 액세스 권한만 있으면 됩니다.

경제학

Early versions of checkers were made to target a single company and were sold for between $50 and $250, depending on the tool’s capabilities. These tools would attempt to log in to a website using an email and password combination obtained from a random database often obtained on the dark web. If a combination worked, it would be marked as valid. If not, the software would simply pick another combination from the list and attempt to log in again. For valid logins, more expensive and complex checkers would also collect additional information from the compromised account, such as linked banking and payment card information, account balances, the owner’s address, and even transaction history. Until this day, the ingenuity of the method truly lies in the economy of scale, allowing criminals to process hundreds of thousands of combinations in a very short period of time.

Eventually, several dominant players such as STORM, Black Bullet, and Sentry MBA entered the market with more robust tools, supporting an unlimited number of custom plugins, also called “configs,” which essentially offered hackers the capability to target almost any company with an online retail presence.

처음에는 수백, 수천 개의 계정으로 시작했던 침해 사고가 빠르게 수십만 개, 심지어 수백만 개의 계정으로 불어났습니다. 가장 유명한 계정 상점 중 일부는 특정 시점에 수천만 개의 유출된 계정을 판매하고 있습니다.

경쟁으로 인해 유출된 계정 한 개당 평균 가격이 10달러 이상에서 1~2달러로 빠르게 낮아졌지만, 크리덴셜 스터핑 공격의 전반적인 수익성은 엄청난 양으로 인해 크게 증가했습니다.

시간이 지남에 따라 관찰된 지하 대화에 따르면 인증정보 스터핑의 평균 성공률은 1~3% 사이입니다. 따라서 공격자는 이메일과 비밀번호의 무작위 조합이 백만 개가 될 때마다 잠재적으로 10,000개에서 30,000개의 계정을 침해할 수 있습니다. 또한 동일한 데이터베이스를 반복해서 재사용하여 수십 개의 다른 웹사이트를 해킹함으로써 더 높은 수익을 얻을 수 있습니다.

유출된 이메일과 비밀번호 100,000건당 1%의 보수적인 성공률을 기준으로 크리덴셜 스터핑 공격의 경제성을 분석하면 최소 20배 이상의 수익이 발생한다는 사실이 드러납니다.

기술 분석

다음은 사이버 범죄자들이 크리덴셜 스터핑 캠페인에 사용하는 계정 확인 소프트웨어의 가장 대표적인 변종입니다. 단일 기업을 대상으로 구축된 잘 알려지지 않은 솔루션도 구매할 수 있다는 점에 유의하세요. 그러나 이러한 일회성 도구는 시장에서 큰 인기를 얻지 못하며, 개발자가 채택이 더뎌 제품 지원을 중단하면 금방 사라지는 경향이 있습니다.

STORM

STORM is marketed across several English-speаking forums, and unlike other account-checking tools, is available free of charge. However, users are encouraged to make donations. The exact identity of the developer is unknown; however, according to underground forum chatter, the software was allegedly created by the actor mrviper. STORM was first launched in January 2018, and according to the description found on dark web advertisements, it is characterized as a free “cracking” program designed to perform website security testing. STORM is written in C language and was developed in close cooperation with members of the Cracked forum. The tool has the following technical features:

• FTP 크래킹 지원

• FTP 및 HTTP 동시 공격

• 동시 세션

• 활동 분석을 위한 디버그 기능

• 최대 2,000만 개의 이메일:비밀번호 레코드로 구성된 콤보 목록 지원

• HTTP/HTTPS 지원

• SOCKS4 및 SOCKS5 지원

• 퍼블릭 소스에서 자동 수집을 통한 프록시 자동 업데이트

• 키워드 캡처(프리미엄 계정 세부 정보 수집)

• 자바스크립트 리디렉션

다크웹의 STORM 계정 크래커 광고.

블랙 불릿

블랙 불릿은 2018년 초 다크웹에 처음 등장했으며, 공식 사이트( www.bullet[.]black )를 운영하는 배우 루리(Ruri)가 만든 것으로 추정됩니다. 하지만 메인 페이지에 있는 정보에 따르면 이 커뮤니티는 더 이상 신규 회원을 받지 않습니다. 다크웹에서 daltonbean8, Doberman 등 여러 다크웹 멤버들이 이 도구를 배포하는 것이 목격되었습니다.

다른 계정 확인 도구와 달리 BlackBullet은 멀티 스레드 기능을 제공하지 않으며, 한 번에 하나의 회사만 공격할 수 있습니다. 이 도구에는 특정 계정에 대해 실행할 때 사전 공격을 수행할 수 있는 무차별 대입 기능도 포함되어 있습니다.

• 캡차 우회

• 구성 파일: ~ 530개, 그러나 사용자가 직접 구성을 수정하고 새 구성을 생성할 수 있는 옵션이 있습니다.

• 셀레늄 웹드라이버 지원

• 가격: 가격: $30에서 $50 사이

BlackBullet V.2.0.2 제어판 인터페이스.

개인 키퍼

프라이빗 키퍼는 배우 deival909가 개발했습니다. 배우가 제공한 설명에 따르면 이 도구는 인라인 기술을 기반으로 합니다. Private Keeper는 러시아어를 사용하는 언더그라운드에서 가장 인기 있는 계정 확인 소프트웨어입니다.

• 가격: 49 러시아 루블(약 $0.80)부터

• 동시 세션

• 비공개 또는 공개 프록시 서비스에 자동으로 연결할 수 있도록 지원하는 유틸리티 소프트웨어

• 공식 온라인 스토어: www.deival909[.]ru

• 최신 버전: 7.9.3.34

개인 키퍼 제어판 인터페이스.

SNIPR

SNIPR은 여러 지하 포럼에서 판매되고 공개적으로 공유되었습니다. 위협 행위자인 PRAGMA는 멀웨어의 개발자입니다. SNIPR은 온라인 크리덴셜 스터핑과 오프라인 무차별 대입 사전 공격을 모두 지원하는 C 언어로 작성된 구성 가능한 계정 확인 소프트웨어입니다. 이 도구는 여러 위협 행위자에 의해 광고되었지만, 이 계정 검사기는 포럼과 마켓플레이스가 있는 자체 웹 사이트( www.snipr[.]gg)를 보유하고 있습니다. 이 웹사이트를 통해 타사 개발자는 사용자 지정 구성 파일을 공유할 수 있습니다.

• 구성 파일: 100개 이상 공식 패키지에 포함되어 있습니다.

• 동시 공격: 최대 4개의 대상

• 가격: $20

SNIPR 계정 검사기에는 기본적으로 100개 이상의 구성 파일이 포함되어 있습니다.

센트리 MBA

Sentry MBA, with over 1,000 configuration files available, is one of the most prominent and readily available examples of account-checking software on the dark web. Several criminal forums maintain ongoing discussion threads dedicated to Sentry MBA. As of December 2018, the registration at https://sentry[.]mba, the official Sentry MBA marketplace and discussion board, is closed and available by invitation only. Insikt Group identified that the tool has been actively advertised on the dark web since late 2014. However, the official Twitter account was launched in July 2013. The tool was allegedly developed by an actor using the alias “Sentinel” and later modified by another actor, “Astaris.” Sentry MBA uses OCR (optical character recognition) functionality to bypass captcha. However, Sentry MBA doesn’t support Javascript anti-bot challenges. Sentry MBA can be configured to recognize specific keywords associated with a website’s responses to successful and unsuccessful login attempts.

• 사용 가능한 구성: 1000개 이상

• 공식 웹사이트: https://sentry[.]mba

• 가격: 구성 파일당 $5에서 $20 사이

• HTTP/HTTPS 지원

• SOCKS4 및 SOCKS5 지원

센트리 MBA 제어판.

WOXY

일반적인 계정 확인 소프트웨어와 달리 WOXY 이메일 검사기를 사용하면 범죄자는 이메일 계정의 유효성을 확인하고, 이메일 콘텐츠에서 중요한 정보(예: 기프트 카드 코드 또는 스트리밍 서비스, 여행 웹사이트, 금융 기관의 온라인 구독)를 스캔하고, 로그인 비밀번호를 자동으로 재설정하여 유효한 계정을 탈취할 수 있습니다. 분석 결과, WOXY는 현재는 없어진 웹사이트 www.keepit[.]online을 운영하던 드림즈제(Dreamzje)와 데오스(Deos)가 개발한 것으로 나타났습니다. 그러나 2018년 9월 배우 크랭크와 유키가 다크웹에서 크랙 버전의 WOXY를 공유하면서 현재는 무료로 쉽게 구할 수 있게 되었습니다.

WOXY 이메일 검사기 V3.4 정보.

완화

1. 범죄자들은 공격을 더욱 난독화하기 위해 공개적으로 사용 가능한 무료 프록시를 사용하는 것 외에도 유료 프록시 서비스를 사용하는 경우가 많습니다. 그러나 분석 결과 이러한 서비스는 종종 지리적 스푸핑 기술을 사용하여 광범위한 IP 풀을 생성하는 것으로 나타났습니다. 이러한 도메인은 동일한 IP 주소를 갖지만 서로 다른 서브넷을 사용합니다. 이러한 IP에서 발생하는 웹 트래픽 활동을 모니터링하면 추가적인 완화 기능을 제공합니다.

2. 멀티팩터 인증의 도입은 과거에 높은 수준의 크리덴셜 스터핑 공격을 경험한 많은 조직에서 매우 효과적인 방어 방법임이 입증되었습니다.

3. 범죄 지하 커뮤니티를 모니터링하여 조직을 겨냥한 새로운 구성 파일의 존재 여부, 수집, 추가 공격 지표에 대한 철저한 분석 등을 확인합니다.

4. 최종 사용자는 비밀번호 관리자를 사용하고 각 온라인 계정에 고유한 강력한 비밀번호를 설정하여 크리덴셜 스터핑 공격의 피해를 줄일 수 있습니다.