>
연구(Insikt)

크리덴셜 스터핑 공격의 경제성 [보고서]

게시일: 2019년 4월 25일
작성자: Insikt Group

insikt-group-logo-updated.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

이 보고서에서는 크리덴셜 스터핑 공격의 현재 위협 환경을 다룹니다. 사이버 범죄자들이 크리덴셜 스터핑을 시작하는 데 가장 많이 사용하는 도구를 검토하고 유출된 인증정보를 판매하는 가장 인기 있는 마켓플레이스에 대해 설명합니다. 이 보고서에는 Recorded FutureⓇ 플랫폼을 사용하여 수집한 정보와 오픈 소스, 다크 웹 및 언더그라운드 포럼 연구를 추가로 포함하고 있으며, 크리덴셜 스터핑 공격으로부터 이커머스, 통신 및 금융 조직을 보호하는 분석가와 이러한 공격을 수행하는 위협 행위자에 대한 조사 단서를 찾고 있는 사람들이 가장 관심을 가질 만한 내용입니다.

Executive Summary

계정 확인 소프트웨어, 이메일 및 비밀번호 조합 목록, 프록시 서비스 제공업체와 같은 지원 인프라의 광범위한 가용성에 힘입어 다크웹에서 자동화된 마켓플레이스가 빠르게 확산되면서 전자상거래, 금융 서비스, 여행 웹사이트, 통신사 등 수천 개의 인기 웹 서비스를 악용할 수 있는 완벽한 공격 환경이 조성되고 있습니다. 지난 몇 년 동안 온라인 리테일을 운영하는 거의 모든 대형 기업에서 사용자들이 크리덴셜 스터핑 공격에 노출되었다고 가정해도 무방하며, 일부 기업은 다크웹에서 수백만 개 이상의 노출된 로그인 인증정보를 언제든지 구매할 수 있습니다.

주요 판단

  • 2014년 말, 자동화된 지하 마켓플레이스가 확산되는 시기와 맞물려 처음으로 크리덴셜 스터핑 공격이 광범위하게 관찰되었습니다. 공격자들은 계정을 판매할 때 유출된 계정 인증 정보를 빠르고 쉽게 수익화할 수 있다고 제안했습니다. 크리덴셜 스터핑 공격에 가담한 일부 공격자들은 지금도 여전히 활동 중입니다.

  • 범죄자들은 최소 550달러만 투자하면 유출된 로그인 인증 정보를 판매하여 최소 20배의 수익을 올릴 수 있습니다.

  • 여러 대형 마켓플레이스에서 유출된 로그인 인증정보의 전체 공급량은 수천만 개의 계정을 넘어섰습니다.

  • 인식트 그룹은 사이버 범죄자들이 사용하는 계정 확인 소프트웨어의 인기 변종을 최소 6개 이상 확인했지만, 잘 알려지지 않은 변종도 다크웹에서 수십 개나 발견할 수 있습니다.

  • 일부 기업에서는 인증정보 스터핑 공격 벡터를 차단하는 다단계 인증(MFA)을 구현할 수도 있지만, 편의성보다 보안을 선택할 준비가 되어 있지 않은 기업도 있습니다.

배경

2014년 말과 2015년 초에 저희는 완전히 자동화된 방식으로 대량의 거래를 촉진하기 위해 특별히 맞춤화된 새로운 다크웹 비즈니스 모델이 널리 채택되는 것을 목격했습니다. 이베이나 아마존과 같은 합법적인 리테일 플랫폼을 모방하도록 설계된 이른바 '자동화된 상점'은 저급 범죄자들도 자체 인프라나 마케팅 캠페인 유지에 대한 걱정 없이 로그인 인증정보와 같은 도난 데이터를 판매할 수 있도록 해줍니다. 대체로 계정 마켓플레이스의 도입은 크리덴셜 스터핑 공격의 주요 도구로 사용되는 계정 확인 소프트웨어 또는 간단히 '체커'의 확산으로 인해 가능해졌습니다.

위협 분석

유출된 계정 인증 정보는 다크웹에서 항상 귀중한 상품이었으며, 거래 건수가 상대적으로 적고 주로 P2P 방식으로 이루어지거나 알파베이, 실크로드, 한사 마켓과 같은 반자동화된 시장을 통해 이루어졌습니다. 이전 모델에서는 판매자가 수동으로 거래를 승인하고 구매한 데이터를 전달한 후에야 구매자가 상품을 수령했습니다. 게다가 판매자는 리스팅을 관리하고 구매자와 직접 소통해야 했습니다.

그러나 자동화된 상점의 등장으로 수동 개입의 필요성이 사라졌고, 유출된 계정의 비즈니스는 P2P 거래에서 훨씬 더 민주화된 모든 사람에게 개방된 기업으로 완전히 전환되었습니다.

각 판매 금액에서 10~15%의 수수료를 공제한 금액으로 회원은 이메일과 비밀번호 외에 계정 소유자의 거주 도시 또는 주, 거래 내역, 계정 잔액 등의 데이터를 포함하는 검증된 유출된 계정을 얼마든지 업로드할 수 있습니다. 이 모든 정보는 특정 요구 사항에 맞는 계정을 구매하려는 사기꾼에게 귀중한 데이터입니다. 공급업체의 주요 업무는 재고 보충이며, 모든 고객 지원, 송금 및 분쟁 해결은 상점의 지원팀에서 처리합니다.

자격 증명 스터핑 공격 -1-1.png

자동 상점 목록. 구매자는 유출된 회사 이름과 함께 사용 가능한 잔액 또는 로열티 포인트, 계정 소유자의 거주지, 관련 결제 카드, 마지막 거래 날짜, 계정 소유자의 로그인 이메일 호스트 이름 등을 확인할 수 있습니다.

처음에는 소수의 일부 공급업체만이 탈취한 데이터를 주로 공급했지만, 범죄 조직원들 사이에서 기술이 공유되면서 탈취한 인증정보의 비즈니스가 기하급수적으로 성장했습니다.

일반 인터넷 사용자들은 여러 웹사이트에서 동일한 비밀번호를 재사용하는 경향이 있기 때문에 위협 공격자들은 시간이 오래 걸리는 개별 계정에 대한 액세스를 시도하는 대신 무작위로 여러 계정을 해킹하는 데 집중하여 노력을 줄여야 한다는 것을 금방 알게 되었습니다.

자격 증명 스터핑 공격 2-1.png

여러 요소의 조합으로 인해 다양한 온라인 서비스 계정의 해킹이 쉬워졌을 뿐만 아니라 수익성도 엄청나게 높아졌습니다. 크리덴셜 스터핑 공격이라고도 하는 계정 무차별 대입 공격을 시작하려면 공격자는 무차별 대입 소프트웨어, 임의의 이메일 및 비밀번호 조합 데이터베이스, 프록시 풀에 대한 액세스 권한만 있으면 됩니다.

경제학

초기 버전의 체커는 단일 회사를 대상으로 만들어졌으며 도구의 기능에 따라 50달러에서 250달러 사이에 판매되었습니다. 이러한 도구는 다크 웹에서 흔히 구할 수 있는 임의의 데이터베이스에서 얻은 이메일과 비밀번호 조합을 사용하여 웹사이트 로그인을 시도합니다. 조합이 성공하면 유효한 것으로 표시됩니다. 그렇지 않은 경우 소프트웨어는 목록에서 다른 조합을 선택하고 다시 로그인을 시도합니다. 유효한 로그인을 위해 더 비싸고 복잡한 검사기는 연결된 뱅킹 및 결제 카드 정보, 계정 잔액, 소유자의 주소, 거래 내역 등 유출된 계정에서 추가 정보도 수집합니다. 오늘날까지 이 수법의 독창성은 범죄자들이 매우 짧은 시간 내에 수십만 개의 조합을 처리할 수 있는 규모의 경제에 있습니다.

결국 STORM, Black Bullet, Sentry MBA와 같은 몇몇 주요 업체는 더 강력한 툴로 시장에 진입하여 "구성"이라고도 하는 사용자 지정 플러그인을 무제한으로 지원함으로써 해커들이 온라인 리테일에 존재하는 거의 모든 회사를 공격할 수 있는 기능을 제공했습니다.

처음에는 수백, 수천 개의 계정으로 시작했던 침해 사고가 빠르게 수십만 개, 심지어 수백만 개의 계정으로 불어났습니다. 가장 유명한 계정 상점 중 일부는 특정 시점에 수천만 개의 유출된 계정을 판매하고 있습니다.

경쟁으로 인해 유출된 계정 한 개당 평균 가격이 10달러 이상에서 1~2달러로 빠르게 낮아졌지만, 크리덴셜 스터핑 공격의 전반적인 수익성은 엄청난 양으로 인해 크게 증가했습니다.

시간이 지남에 따라 관찰된 지하 대화에 따르면 인증정보 스터핑의 평균 성공률은 1~3% 사이입니다. 따라서 공격자는 이메일과 비밀번호의 무작위 조합이 백만 개가 될 때마다 잠재적으로 10,000개에서 30,000개의 계정을 침해할 수 있습니다. 또한 동일한 데이터베이스를 반복해서 재사용하여 수십 개의 다른 웹사이트를 해킹함으로써 더 높은 수익을 얻을 수 있습니다.

자격 증명 스터핑 공격 3-2.png

유출된 이메일과 비밀번호 100,000건당 1%의 보수적인 성공률을 기준으로 크리덴셜 스터핑 공격의 경제성을 분석하면 최소 20배 이상의 수익이 발생한다는 사실이 드러납니다.

기술 분석

다음은 사이버 범죄자들이 크리덴셜 스터핑 캠페인에 사용하는 계정 확인 소프트웨어의 가장 대표적인 변종입니다. 단일 기업을 대상으로 구축된 잘 알려지지 않은 솔루션도 구매할 수 있다는 점에 유의하세요. 그러나 이러한 일회성 도구는 시장에서 큰 인기를 얻지 못하며, 개발자가 채택이 더뎌 제품 지원을 중단하면 금방 사라지는 경향이 있습니다.

STORM

STORM은 여러 영어권 포럼에서 판매되고 있으며, 다른 계정 확인 도구와 달리 무료로 사용할 수 있습니다. 그러나 사용자들은 기부를 권장합니다. 개발자의 정확한 신원은 알려지지 않았지만, 언더그라운드 포럼의 대화에 따르면 이 소프트웨어는 배우 mrviper가 만든 것으로 추정됩니다. STORM은 2018년 1월에 처음 출시되었으며, 다크웹 광고에서 볼 수 있는 설명에 따르면 웹사이트 보안 테스트를 수행하도록 설계된 무료 '크래킹' 프로그램이라는 특징이 있습니다. STORM은 C언어로 작성되었으며 Cracked 포럼의 회원들과 긴밀히 협력하여 개발되었습니다. 이 도구에는 다음과 같은 기술적 특징이 있습니다:

  • FTP 크래킹 지원

  • FTP 및 HTTP 동시 공격

  • 동시 세션

  • 활동 분석을 위한 디버그 기능

  • 최대 2,000만 개의 이메일:비밀번호 레코드로 구성된 콤보 목록 지원

  • HTTP/HTTPS 지원

  • SOCKS4 및 SOCKS5 지원

  • 퍼블릭 소스에서 자동 수집을 통한 프록시 자동 업데이트

  • 키워드 캡처(프리미엄 계정 세부 정보 수집)

  • 자바스크립트 리디렉션

자격 증명 스터핑 공격 4-1.png

다크웹의 STORM 계정 크래커 광고.

블랙 불릿

블랙 불릿은 2018년 초 다크웹에 처음 등장했으며, 공식 사이트( www.bullet[.]black )를 운영하는 배우 루리(Ruri)가 만든 것으로 추정됩니다. 하지만 메인 페이지에 있는 정보에 따르면 이 커뮤니티는 더 이상 신규 회원을 받지 않습니다. 다크웹에서 daltonbean8, Doberman 등 여러 다크웹 멤버들이 이 도구를 배포하는 것이 목격되었습니다.

다른 계정 확인 도구와 달리 BlackBullet은 멀티 스레드 기능을 제공하지 않으며, 한 번에 하나의 회사만 공격할 수 있습니다. 이 도구에는 특정 계정에 대해 실행할 때 사전 공격을 수행할 수 있는 무차별 대입 기능도 포함되어 있습니다.

  • 캡차 우회

  • 구성 파일: ~ 530개, 그러나 사용자가 직접 구성을 수정하고 새 구성을 생성할 수 있는 옵션이 있습니다.

  • 셀레늄 웹드라이버 지원

  • 가격: 가격: $30에서 $50 사이

자격 증명 스터핑 공격 5-1.png

BlackBullet V.2.0.2 제어판 인터페이스.

개인 키퍼

프라이빗 키퍼는 배우 deival909가 개발했습니다. 배우가 제공한 설명에 따르면 이 도구는 인라인 기술을 기반으로 합니다. Private Keeper는 러시아어를 사용하는 언더그라운드에서 가장 인기 있는 계정 확인 소프트웨어입니다.

  • 가격: 49 러시아 루블(약 $0.80)부터

  • 동시 세션

  • 비공개 또는 공개 프록시 서비스에 자동으로 연결할 수 있도록 지원하는 유틸리티 소프트웨어

  • 공식 온라인 스토어: www.deival909[.]ru

  • 최신 버전: 7.9.3.34

자격 증명 스터핑 공격 6-1.png

개인 키퍼 제어판 인터페이스.

SNIPR

SNIPR은 여러 지하 포럼에서 판매되고 공개적으로 공유되었습니다. 위협 행위자인 PRAGMA는 멀웨어의 개발자입니다. SNIPR은 온라인 크리덴셜 스터핑과 오프라인 무차별 대입 사전 공격을 모두 지원하는 C 언어로 작성된 구성 가능한 계정 확인 소프트웨어입니다. 이 도구는 여러 위협 행위자에 의해 광고되었지만, 이 계정 검사기는 포럼과 마켓플레이스가 있는 자체 웹 사이트( www.snipr[.]gg)를 보유하고 있습니다. 이 웹사이트를 통해 타사 개발자는 사용자 지정 구성 파일을 공유할 수 있습니다.

  • 구성 파일: 100개 이상 공식 패키지에 포함되어 있습니다.

  • 동시 공격: 최대 4개의 대상

  • 가격: $20

자격 증명 스터핑 공격 7-1.png

SNIPR 계정 검사기에는 기본적으로 100개 이상의 구성 파일이 포함되어 있습니다.

센트리 MBA

1,000개 이상의 구성 파일을 제공하는 Sentry MBA는 다크웹에서 가장 유명하고 쉽게 구할 수 있는 계정 확인 소프트웨어의 예입니다. 여러 범죄 포럼에서 Sentry MBA에 대한 토론 스레드를 지속적으로 관리하고 있습니다. 2018년 12월 현재, 센트리 MBA 공식 마켓플레이스 및 토론 게시판인 https://sentry[.]mba의 등록은 마감되었으며 초대를 통해서만 가능합니다. 인식트 그룹은 이 도구가 2014년 말부터 다크웹에서 활발하게 광고되고 있음을 확인했습니다. 하지만 공식 트위터 계정은 2013년 7월에 시작되었습니다. 이 도구는 "센티널"이라는 가명을 사용하는 한 행위자가 개발했으며, 나중에 다른 행위자인 "아스타리스"가 수정한 것으로 추정됩니다. Sentry MBA는 OCR(광학 문자 인식) 기능을 사용하여 보안 문자를 우회합니다. 그러나 Sentry MBA는 자바스크립트 안티봇 챌린지를 지원하지 않습니다. 로그인 시도의 성공 및 실패에 대한 웹사이트의 응답과 관련된 특정 키워드를 인식하도록 Sentry MBA를 구성할 수 있습니다.

  • 사용 가능한 구성: 1000개 이상

  • 공식 웹사이트: https://sentry[.]mba

  • 가격: 구성 파일당 $5에서 $20 사이

  • HTTP/HTTPS 지원

  • SOCKS4 및 SOCKS5 지원

자격 증명 스터핑 공격 8-1.png

센트리 MBA 제어판.

WOXY

일반적인 계정 확인 소프트웨어와 달리 WOXY 이메일 검사기를 사용하면 범죄자는 이메일 계정의 유효성을 확인하고, 이메일 콘텐츠에서 중요한 정보(예: 기프트 카드 코드 또는 스트리밍 서비스, 여행 웹사이트, 금융 기관의 온라인 구독)를 스캔하고, 로그인 비밀번호를 자동으로 재설정하여 유효한 계정을 탈취할 수 있습니다. 분석 결과, WOXY는 현재는 없어진 웹사이트 www.keepit[.]online을 운영하던 드림즈제(Dreamzje)와 데오스(Deos)가 개발한 것으로 나타났습니다. 그러나 2018년 9월 배우 크랭크와 유키가 다크웹에서 크랙 버전의 WOXY를 공유하면서 현재는 무료로 쉽게 구할 수 있게 되었습니다.

자격 증명 스터핑 공격 9-1.png

WOXY 이메일 검사기 V3.4 정보.

완화

  1. 범죄자들은 공격을 더욱 난독화하기 위해 공개적으로 사용 가능한 무료 프록시를 사용하는 것 외에도 유료 프록시 서비스를 사용하는 경우가 많습니다. 그러나 분석 결과 이러한 서비스는 종종 지리적 스푸핑 기술을 사용하여 광범위한 IP 풀을 생성하는 것으로 나타났습니다. 이러한 도메인은 동일한 IP 주소를 갖지만 서로 다른 서브넷을 사용합니다. 이러한 IP에서 발생하는 웹 트래픽 활동을 모니터링하면 추가적인 완화 기능을 제공합니다.

  2. 멀티팩터 인증의 도입은 과거에 높은 수준의 크리덴셜 스터핑 공격을 경험한 많은 조직에서 매우 효과적인 방어 방법임이 입증되었습니다.

  3. 범죄 지하 커뮤니티를 모니터링하여 조직을 겨냥한 새로운 구성 파일의 존재 여부, 수집, 추가 공격 지표에 대한 철저한 분석 등을 확인합니다.

  4. 최종 사용자는 비밀번호 관리자를 사용하고 각 온라인 계정에 고유한 강력한 비밀번호를 설정하여 크리덴셜 스터핑 공격의 피해를 줄일 수 있습니다.

관련