교육

직원의 행복한 삶을 위해 함께 성장하는 회사를 지향합니다.

HOME > 교육 > 자료실

자료실
이름 관리자 이메일
작성일 19-09-23 조회수 2654
파일첨부                                 
제목
[Quest] 비밀번호 스프레이 공격원리와 탐지방법

여러분 모두 비밀번호 스프레이 공격에 대해 한 번 이상 들어 보셨을 것입니다. 간략한 아키텍처 다이어그램부터 살펴봅시다.


비밀번호 스프레이 공격의 원리

간단히 설명하자면 비밀번호 스프레이는 누군가가 비밀번호를 알아내기 위한 시도를 반복하는 무차별 대입 공격의 한 유형입니다(MITRE 분류 T1100). 물론 액티브 디렉토리(Active Directory) 세계에서 무차별 대입 공격은 그다지 효과적인 공격은 아닙니다. 로그인이 특정 횟수만큼 실패한 이후에는 해당 계정이 잠기기 때문입니다. 헬프데스크 팀의 업무 부담을 늘리는 귀찮은 일이긴 해도 이러한 공격 시도에 대한 대응책으로는 효과적입니다.

이 계정 잠금을 피하기 위해 공격자들이 사용하는 수법이 바로 비밀번호 스프레이입니다. 알려진 특정 사용자에 대해 가능한 모든 비밀번호 조합을 확인하는 방식이 아니라, 목표로 한 사용자층에 대해 성공 가능성이 높은, 치밀하게 계산된 비밀번호 조합 사전을 만들어서 최대한 많은 수의 알려진 사용자를 대상으로 이러한 조합을 시도합니다.

따라서 한 사용자당 몇 분에 한번씩만 비밀번호 입력 시도가 이뤄지므로 계정이 잠기지 않게 됩니다.

예를 들어 조직에 5만 명의 사용자가 있고 이들 대부분이 보스턴에 위치한다고 가정해 봅시다. 공격자가 이 사실을 안다면 “Patriots2019”라는 비밀번호를 시도할 경우 성공할 가능성이 높아집니다. 솔직히 말해 십중팔구는 성공할 것입니다. 5만 명의 AD 계정 사용자 중에서 이 비밀번호를 사용하는 사람이 최소 몇 명은 있을 것이기 때문입니다.

비밀번호 스프레이가 강력하고 위험한 이유가 여기에 있습니다.


예시

다음은 분석가들이 익스체인지 OWA(Exchange OWA) 서버를 대상으로 이 수법을 사용한 예시입니다.

퀘스트의 인트러스트(InTrust)가 있다면, 위의 모든 항목은 파워셸(PowerShell) 감사에 의해 로깅되고 파워셸 의심스러운 활동 규칙에 의해 차단이 가능하다는 것입니다.

비밀번호 스프레이는 웹 메일과 같은 서비스에 대해 MFA가 활성화된다 해도 여전히 통합니다. 공격자가 이 서비스에 액세스할 필요가 없기 때문입니다. 공격자는 비밀번호가 맞는지 여부만 알면 됩니다. 차이점이 보이시나요?

애플리케이션 액세스와 올바른 인증 정보의 차이입니다. MFA는 비밀번호가 맞더라도 추가 질문을 제시합니다. 정확한 인증 정보가 있다면 애초에 MFA에 의해 보호되는 애플리케이션에 액세스할 필요가 없습니다. 대부분의 경우 그러한 보호 기능이 없는 애플리케이션이나 서비스가 존재하기 때문입니다.


실제 공격자의 예

파이어아이(Fireeye)는 세부적인 공격 단계 중에서도 비밀번호 스프레이를 사용한 APT33에 대한 유용한 분석 논문을 발표했습니다.

“약 3주 후부터 공격자는 성공적인 비밀번호 스프레이를 통해 액세스를 다시 설정했습니다…”

공격자는 실패한 이전 공격 이후 조직의 인프라, 약점과 강점, 방어 시스템에 대해 학습한 다음 비밀번호 스프레이 공격 기법을 적용했습니다. 흥미롭게도 공격자가 지속성 공격 방법을 구현하기 시작할 때까지 아무도 조직 환경에서 비밀번호 스프레이를 알아차리지 못했습니다.

완화

MITRE의 공격 기법 페이지 https://attack.mitre.org/techniques/T1110/ 를 보면 완화(Mitigation) 섹션에 비밀번호 스프레이에 대한 내용은 없습니다. 교육을 통해 사용자에게 더 나은 비밀번호를 사용하도록 하거나 잘 알려진 취약한 비밀번호 보호 솔루션을 사용하는 정도 외에는 딱히 효과적인 완화책이 없기 때문입니다.

다시 한 번 솔직히 말해봅시다. 스포츠 경기에서 홈팀이 최종 우승하면 거의 항상 누군가는 그 팀의 이름을 비밀번호에 사용합니다.


탐지

비밀번호 스프레이를 탐지하는 방법은 있지만, 비밀번호 스프레이는 무차별 대입 방식이 아니므로(동일한 계정이 공격을 받는 것이 아님) 탐지하기가 어렵습니다. 물론 모든 로그인 시도와 볼륨을 모니터링할 수 있지만 공격인지, 단순히 로그인 시도가 잠시 늘어난 것인지를 어떻게 구분할 수 있을까요? 또한 여러 개의 사용자 계정을 대상으로 하므로 직접적인 결론을 도출하기도 어렵습니다.

퀘스트는 탐지와 노이즈 감소에 도움이 되기 위해 인트러스트에서 전용 비밀번호 스프레이 규칙을 개발했습니다.

인트러스트는 MITRE 권장 사항에 따라 4625와 4771을 분석하지만 노이즈를 줄이기 위한 부가적인 분석도 수행합니다.

이 규칙은 다수의 유효한 사용자에 대해 동일한 컴퓨터에서 여러 번의 계정 로그인(기본값은 5회)이 1분 이내에 로깅되었음이 확인되는 경우 작동됩니다. 또한 인트러스트에는 특정 사용자 계정을 추출해서 경보 텍스트에 표시하는 기능도 있습니다.

비밀번호 스프레이 공격을 탐지하는 퀘스트의 인트러스트에 관심이 있으시다면, 무료 시험판을 사용해 보시거나 퀘스트 소프트웨어 코리아로 문의 주시기 바랍니다.

[출처] 비밀번호 스프레이 공격의 원리와 탐지 방법|작성자 퀘스트소프트웨어
이전글 [기고] 4차 산업혁명 시대, AI와 사람 그리고 일
다음글 Bot Development Best Practices Version 1.0.1

댓글

(주)바이텍정보통신 | 대표자 : 임현철 | 주소 : 경기도 성남시 분당구 대왕판교로 660, 유스페이스1 B동 1102호
사업자등록번호 : 120-81-39623 | 대표번호 : 031)724-2940 | 팩스 : 031)724-2941

Copyright (c) 2019 Bitek Information & Communication Inc All Rights Reserved.

계열사 : 바이텍씨스템 | 바이텍테크놀로지