월드 투어:
Menlo의 보안 엔터프라이즈 브라우저를 통해 어떻게 공격자보다 한 발 앞서 나갈 수 있는지 실시간으로 살펴보세요.
웹 브라우저는 클라우드 기반 생산성 제품군, 강력한 분석 플랫폼, 최대 규모의 엔터프라이즈 ERP 시스템, 그 사이의 모든 애플리케이션 등 작업을 완료하는 데 필요한 최신 애플리케이션 인터페이스입니다.안타깝게도 이는 웹 브라우저가 현대 공격자들의 주요 공격 대상이라는 의미이기도 합니다.이는 현재 공격 기법의 특성과 기존 보안 방어의 효율성 또는 부재에 심각한 영향을 미칩니다.
실제로 위협 행위자들은 보안 웹 게이트웨이 (SWG) 에서 수행하는 검사, 악성 링크 분석, 맬웨어 방지 분석, 샌드박싱, 네트워크 트래픽 분석, 도메인 분류에 기반한 방어 등 소위 “솔루션”으로 불리는 방어 등 기업이 갖추고 있는 일반적인 보안 방어 수단을 성공적으로 우회할 수 있는 회피 공격 기술을 점점 더 많이 활용하고 있습니다.이러한 공격의 진행 속도가 너무 빨라서 기존 보안 도구가 현대의 보안 도구를 따라가지 못합니다. 고도로 회피적인 공격 기법 웹 브라우저를 대상으로 합니다.또한 공격자는 웹 브라우저를 효과적으로 표적으로 삼기 때문에 웹 브라우저를 직접 방어하지 않는 보안 방어는 실패할 가능성이 매우 높습니다.
이러한 고도로 회피적인 공격 기법 중 하나는 다단계 인증 (MFA) 우회 공격을 포함합니다.최근 몇 년 동안 소비자 및 기업 인증 모두에서 MFA의 사용이 증가함에 따라 공격자들은 MFA를 우회하는 방법을 학습하는 데 상당한 관심을 보이고 성공을 거두었습니다.
MFA 우회 공격은 사이버 범죄자가 MFA가 제공하는 추가 보안 계층 (예: 일회용 암호, 디지털 토큰 또는 생체 인식 인증) 을 우회하고 민감한 데이터 및 시스템에 대한 무단 액세스를 얻기 위해 사용하는 기술을 말합니다.싱글 사인온 (SSO) 위장이라고도 하는 이러한 공격을 통해 위협 행위자는 Okta, LastPass, OneLogin과 같은 SSO 시스템의 신뢰를 악용하여 여러 관련 서비스에 무단으로 액세스할 수 있습니다.공격자는 소셜 엔지니어링, 피싱, 인증 프로세스의 취약성 악용 등 다양한 방법을 MFA 우회 공격에 사용합니다.
공격자는 MFA 시스템을 표적으로 삼을 때 암호 (사용자가 알고 있는 것), 토큰 (사용자가 가지고 있는 것), 생체 인식 (사용자가 있는 것) 과 같은 하나 이상의 특정 MFA 구성 요소를 악용하려고 합니다.조직은 이러한 공격을 막기 위해 부지런히 부지런히 대응하고 적절한 보안 방어 수단을 마련해야 합니다.
다음으로, 기업에서 성공적으로 사용되고 있는 몇 가지 일반적인 MFA 바이패스 기법을 살펴보겠습니다.
조직을 대상으로 하는 MFA 우회 공격에는 세 가지 일반적인 유형이 있습니다.여기에는 MFA 피로, 중간자 침입, 토큰 도용 등이 있습니다.
이 공격은 도난당한 사용자 이름과 암호 자격 증명을 획득한 후 대상 사용자의 계정에 반복적인 로그인을 시도하는 공격입니다.사용자가 MFA 보호의 일환으로 푸시 또는 SMS 알림을 활성화한 조직의 경우 대상 사용자에게 로그인 확인 요청이 쇄도합니다.종종 사용자는 좌절감을 느끼거나 우연히 해당 링크 또는 확인 요청을 클릭하게 됩니다.그러면 해당 행동을 통해 위협 행위자가 개입할 수 있습니다.
이 공격을 세션 하이재킹 또는 실시간 피싱이라고도 합니다.위협 행위자는 사용자 이름과 암호 조합만 대상으로 삼으면 보통 가짜 인증 웹 페이지를 만들어 사용자가 자신의 자격 증명을 입력하도록 속이려 합니다.오늘날 MFA가 널리 사용되고 있기 때문에 공격자는 사용자 이름/암호 조합과 두 번째 인증 형태로 사용되는 디지털 토큰 또는 일회용 암호를 모두 필요로 합니다.안타깝게도 이 방법은 많은 사람들이 이전에 기대했던 것보다 더 쉬워졌습니다.
이러한 공격에서 위협 행위자는 대상 최종 사용자와 합법적인 로그인 페이지 사이에 침입합니다.피해자는 SMS 문자나 이메일을 통해 MFA 공급자에 액세스해 달라는 대역 외 요청을 받는 경우가 많으며, 이 요청을 클릭하면 악성 프록시 서버를 통해 합법적인 로그인 페이지로 이동하게 됩니다.프록시가 대기하고 있으면 공격자는 자격 증명을 캡처한 다음 세션 쿠키를 수정하여 대상 회사의 시스템에 즉시 액세스할 수 있습니다.이러한 유형의 공격에는 더 많은 변형이 있을 것으로 예상됩니다.
사용자가 세션 중에 다시 인증할 필요가 없도록 “세션 쿠키”가 엔드포인트 디바이스에 저장됩니다.위협 행위자는 이러한 세션 쿠키를 훔칩니다.그런 다음 세션 쿠키가 공격자의 세션 내에 배치되어 브라우저가 실제 신뢰할 수 있는 사용자가 인증된 것으로 믿도록 속입니다.일단 침입하면 공격자는 신뢰할 수 있는 사용자가 동일한 쿠키로 할 수 있는 모든 작업을 수행할 수 있습니다.
MFA 우회 공격은 실제로 최근 헤드라인을 사로잡았습니다.한 예로 지난 가을 Uber의 IT 시스템 침해 사고가 발생했습니다.이 “MFA 피로” 공격에서 위협 행위자는 자신이 Uber IT 부서 직원이라고 확신시켰습니다.사용자가 로그인 요청을 승인하도록 계속 시도한 끝에 Uber 직원은 결국 지쳤거나 속임수를 당했습니다. 승인하기까지.
Reddit은 올해 초 위협 행위자들이 직원의 사용자 이름, 암호 및 2단계 인증 토큰을 성공적으로 캡처했다고 보고했습니다.Reddit CTO인 크리스토퍼 슬로우 (Christopher Slowe) 는 자신의 사이트에서 이 사건을 자세히 설명했습니다.“2023년 2월 5일 말 (PST), 우리는 레딧 직원을 대상으로 한 정교한 피싱 캠페인을 알게 되었습니다.Slowe는 “대부분의 피싱 캠페인에서와 마찬가지로 공격자는 직원들에게 자격 증명과 2단계 토큰을 도용하려는 시도로 인트라넷 게이트웨이의 동작을 복제하는 웹 사이트를 가리키도록 그럴듯한 프롬프트를 보냈습니다.” 라고 썼습니다.
비슷한 공격이 트윌리오와 클라우드플레어를 표적으로 삼았습니다.그리고 스토니브룩 대학교의 연구원들도 보여 주었다 Evilginx, Modlishka, Muraena와 같은 광범위한 키트로 인한 중간자 피싱 공격이 어떻게 증가하고 있는지 알아보십시오.
Lapsus$로 알려진 랜섬웨어 그룹이 최근에 토큰 도용 공격을 감행했습니다.이 그룹은 구매했다고 주장 제네시스 마켓플레이스로 알려진 최근 문을 닫은 범죄 시장에서 Electronic Arts 직원이 훔친 세션 쿠키입니다.도난당한 쿠키 덕분에 사이버 범죄자들은 EA의 Slack 인스턴스에 액세스할 수 있었습니다.결국 Lapsus$는 게임 및 그래픽 엔진 소스 코드를 포함한 780GB의 EA 데이터를 가져갔습니다.이후 그룹은 그 데이터를 이용해 일렉트로닉 아츠를 강탈하려 했습니다.
이러한 회피 공격은 취약한 엔터프라이즈 시스템과 데이터가 얼마나 숙련된 공격자의 희생양이 되는지를 보여주기 때문에 중요합니다.또한 웹 브라우저를 보호하도록 진화하지 않은 네트워크 및 엔드포인트 보안 도구의 확산과 그 사용 증가를 활용합니다.이러한 기존 솔루션은 이러한 현대적 공격의 표적이 되는 웹 브라우저가 아닌 네트워크 계층을 보호하도록 설계되었습니다.
EA, Reddit, Twilio, Uber 등과 같은 조직을 대상으로 한 MFA 우회 공격은 MFA를 우회하는 것 외에도 콘텐츠 분류 엔진, URL 필터링, 보안 이메일 게이트웨이, 기업 이상 탐지 기능을 비롯한 기존 보안 도구를 회피했기 때문에 성공했습니다.대상 엔드포인트 중 상당수는 기업 보안팀이 관리하거나 보호하지 않는 개인용 디바이스였습니다.이러한 디바이스는 보안이 거의 또는 전혀 없는 상태에서 공격자의 주요 표적이 됩니다.
이러한 위협은 회피 특성 때문에 고도로 회피적인 적응형 위협 (HEAT) 으로 분류합니다.HEAT 공격은 원격 근무와 하이브리드 인력의 증가, 클라우드 마이그레이션, SaaS (Software-as-a-Service) 애플리케이션 채택이 가속화되면서 발생했습니다.HEAT 공격은 현재 사용되고 있는 탐지 기반 보안 도구를 성공적으로 회피하고 오늘날 모든 지식 근로자가 사용하는 생산성 소프트웨어인 웹 브라우저를 대상으로 하는 기술을 활용합니다.
MFA 바이패스 공격과 같은 HEAT 공격은 실시간으로 발생하기 때문에 특히 위험합니다.이를 통해 악의적인 공격자는 웹 필터와 같은 기존 보안 조치를 업데이트하기 전에 조직의 취약점을 악용할 수 있습니다.이러한 HEAT 공격의 효과는 기술 지원 직원을 가장하거나 반복적인 인증 요청으로 사용자를 압도하여 개인을 속여 보안을 침해하는 등의 소셜 엔지니어링 기법을 사용한 데서도 비롯됩니다.
특정 비율의 최종 사용자는 필연적으로 소셜 엔지니어링 전략에 굴복하게 되고 이러한 공격은 시그니처 기반 방어에 비해 너무 빠르기 때문에 조직은 진행 중에 이러한 공격을 차단하기 위한 조치를 취해야 합니다.이러한 공격에 효과적으로 대응하려면 사용자의 웹 브라우저에서 공격을 차단하는 것이 필수적입니다.
MFA 바이패스 및 기타 HEAT 기술을 성공적으로 방어하려면 기업은 브라우저에 대한 가시성을 제공하는 예방 솔루션에 보안 노력을 집중해야 합니다.이러한 회피 공격이 발생하는 것을 실시간으로 탐지하고 이에 대응할 수 있어야 합니다.그리고 보안팀은 공격자가 공격을 감당하는 곳, 즉 웹 브라우저에 노력을 기울여야 합니다.위협 행위자가 실시간으로 전술을 조정하는 것처럼 기업도 웹 브라우저 내에서 직접 보안 방어를 적용할 수 있는 적응형 보안 제어를 적용할 수 있어야 합니다.이는 공격이 기기나 시스템에 영향을 미치고 데이터를 노출하기 전에 공격을 차단하는 방법입니다.
