다중 인증은 해커가 귀하의 계정을 탈취하는 것을 방지하는 강력한 방어 수단입니다. 그러나 최근 조사에 따르면 Lapsus$와 SolarWinds라는 두 그룹이 MFA 작동 방식에 흠집을 낸 것으로 보입니다. 이 게시물에서는 이것이 무엇인지 논의할 것이며 가장 중요하게는 모든 종류의 다단계 인증이 동일하게 생성되는 것은 아니라는 점에 대해 논의할 것입니다.
다단계 인증(MFA)에 대해 조금
귀하의 계정에서 다단계 인증을 활성화한 경우, 계정에 로그인할 때 제공하는 사용자 이름과 비밀번호 외에 추가 요소도 사용해야 합니다. 이는 스마트폰이나 이메일로 전송되는 일회용 비밀번호, 지문 또는 물리적 보안 키일 수 있습니다.
MFA 양식 – 개요
모든 MFA가 그런 것은 아닙니다. 보안에 관한 한 평등하게 만들어졌습니다. 최근에는 Lapsus$ 데이터 강탈 갱단과 Cozy Bear(SolarWinds 해킹 배후의 위협 행위자)와 같은 스크립트 키디가 일부 MFA 보호를 깨는 데 성공했습니다. 이들은 MFA Prompt Bombing이라는 기술을 사용했으며 이에 대해서는 이 블로그의 뒷부분에서 논의하겠습니다.
MFA Prompt Bombing이 무엇인지 논의하기 전에 먼저 다단계 인증의 기반이 되는 2가지 프레임워크를 살펴보겠습니다. –
MFA Prompt Bombing이란 무엇입니까?
처음에 MFA Prompt Bombing의 개념은 이전 계정이 얼마나 약한지를 보여줍니다. MFA 형태는 다음과 같습니다.
많은 MFA 제공업체가 두 번째 요소로 인증 확인을 위한 전화 통화를 받거나 푸시 알림을 보낼 수 있다는 사실을 알고 있는 위협 행위자들은 과거에 여러 다중 요소 인증을 발행했습니다. 사용자의 합법적인 장치를 탐색합니다. 보다 구체적으로 Mandiant 연구원에 따르면 APT29, Nobelium 및 Dukes라는 이름으로도 통하는 위협 행위자 Cozy Bear가 이 기술을 사용했습니다.
그러나 위협 행위자가 피해자를 도청하기 위해 도대체 어떻게 하였습니까? 인증에 대해?
랩서스$의 한 멤버는 그룹 공식 텔레그램 채널에 “새벽 1시에 직원이 자려고 하는 동안 100번 전화하면 수락할 가능성이 높다. 직원이 초기 전화를 수락하면 MFA 등록 포털에 액세스하여 다른 장치를 등록할 수 있습니다.”
위협 행위자는 호출 횟수에 제한이 없다는 사실을 악용한 것을 볼 수 있습니다. 만들 수 있습니다. 더욱이 요청은 사용자가 수락하지 않는 한 장치로 전송되며, 그런 일이 발생하면 위협 행위자는 사용자 계정에 액세스할 수 있게 됩니다.
아주 놀랍게도(놀랍게도!) LapSus는 $ 회원은 Microsoft 직원을 속였다고 주장했습니다. 이 회원은 “독일과 미국에서 동시에 직원의 Microsoft VPN에 로그인할 수 있는데 그들은 눈치채지도 못한 것 같습니다. 또한 MFA를 두 번 재등록할 수 있었습니다.”
보안 전문가를 위한 레드팀 해킹 도구 판매자인 Mike Grover는 “기본적으로 많은 시간이 소요되는 단일 방법입니다. 양식: MFA 요청을 승인하도록 사용자를 속입니다. 'MFA Bombing'은 금세 기술어가 되었지만, 이것은 더 은밀한 방법을 놓치고 있습니다.” 방법에는 다음이 포함됩니다.
많은 레드팀이 계정에 대한 MFA 보호를 우회하기 위해 사용해 온 몇 가지 기술을 원하십니까? 예, "피싱할 수 없는" 버전도 있습니다.
앞으로 어떤 일이 일어날지, 어떻게 완화할 것인지 등에 대해 생각해 볼 수 있도록 공유하고 있습니다. 요즘에는 야생에서 더 많이 볼 수 있습니다.
1/n
— _MG_ (@_MG_) 2022년 3월 23일
- 대상 피해자를 회사 프로세스의 일부로 MFA 요청을 보내도록 요청합니다.
- 대상 피해자가 마침내 포기하고 요청을 수락하기를 바라며 여러 MFA 요청을 보냅니다.
- 하루에 1~2개씩 보냅니다. 여기서 MFA 요청 수락 가능성은 여전히 높습니다.
MFA를 손상시키는 기술이 새로운가요? 아마도 그렇지 않을 것이며 한 연구원은 트윗 중 하나에서 이 점을 지적했습니다.
Lapsus$는 'MFA 프롬프트 폭격'을 발명하지 않았습니다.
이 공격 벡터는 lapsus가 발생하기 2년 전에 실제 공격에 사용되었습니다.
— Greg Linares(@Laughing_Mantis) 2022년 3월 25일
이것은 FIDO2가 공격에 대해 완전한 증거라는 뜻인가요?
어느 정도 그렇습니다! FIDO2의 경우 인증에는 사용자의 기기가 필요하기 때문이다. FIDO2 양식을 사용하는 MFA는 물리적 시스템에 연결되어 있으며 다른 장치에 대한 액세스 권한을 부여하려는 하나의 장치에서는 발생할 수 없습니다.
하지만 휴대폰을 떨어뜨려 파손되거나 키를 분실하거나 어떻게든 노트북에 있는 지문 인식기를 깨뜨릴 수 있나요? 아니면 해커가 IT 관리자를 속여 다단계 인증을 재설정한 다음 새 장치를 모두 등록하게 하면 어떻게 될까요? 또한, 귀하의 경우 FIDO2 호환 MFA가 옵션이 아닌 경우에는 어떻게 됩니까?
이때 FIDO2 형태의 다단계 인증의 경우 MFA 프롬프트 폭격이 시작됩니다. –
- If 재설정 백업 메커니즘을 사용하면 공격자가 이 기회를 노릴 수 있습니다.
- FIDO2 형식의 MFA를 사용하는 회사가 기능 수행이나 네트워크 관리를 위해 제3자에 의존한다고 가정해 보겠습니다. 이 제3자 회사는 약한 MFA 형식을 사용하여 회사 네트워크에 액세스합니다. 여기서 FIDO2의 모든 목적이 무너졌습니다.
Nobelium은 어디에서나 FIDO2 기반을 우회할 수 있었지만 이 경우 해커는 피해자의 Active Directory를 악용할 수 있었습니다. 관리자가 사용자 계정을 생성, 삭제 또는 수정하거나 권한 부여 권한을 할당하는 데 사용하는 데이터베이스 도구입니다.
마무리악의적인 행위자가 MFA를 방해하는 더 강력한 방법, 더 강력한 형식을 개발하고 있다는 사실을 복원하고 싶습니다. 사용되어야한다. 즉, MFA를 사용하는 것은 온라인 계정을 보호하기 위한 필수적인 단계입니다. 읽은 내용이 마음에 들었다면 이 게시물에 좋아요를 누르고 아래 댓글 섹션에서 의견을 공유해 주세요.
읽기: 0
