.gif)
러시아의 해커들이 MS에 침투해 악성 오오스 앱들을 생성한 뒤 이를 통해 꾸준히 정보를 빼냈다. 이에 MS는 그러한 공격에 대한 방어법을 공유하고 나섰다.
[보안뉴스 문가용 기자] 마이크로소프트가 국가의 지원을 받는 고차원적인 해커들의 공격에 대한 방어법이 담긴 새로운 가이드라인을 발표했다. 주로 악성 오오스(OAuth) 앱을 통해 숨어드는 공격자들의 전략에 어떻게 대처해야 하는지에 집중하고 있었다. 얼마 전 자사 고위급 간부들의 이메일이 러시아 APT 단체들에 의해 침해된 것을 염두에 둔 움직임으로 보인다.
[이미지 = gettyimagesbank]
얼마 전 MS는 이른 바 미드나이트블리자드(Midnight Blizzard)라는 해킹 단체의 공격을 받았다. 미드나이트블리자드는 코지베어(Cozy Bear)라고도 불리는 APT 조직이며 러시아의 해외 첩보 기관인 SVR과 관련이 깊다. 이들은 일부 마이크로소프트 임직원들의 이메일 계정을 침해하는 데 성공한 것 때문에 얼마 전 여러 매체의 헤드라인에 올라갔다. 2023년 11월 하반기부터 공격자들은 이메일 침투에 성공해 여러 가지 정보를 가져간 것으로 분석됐다. 공격자들은 MS만이 아니라 HPE도 비슷하게 침해했었다. 보안 기능을 가진 기업들이 SVR이나 미드나이트블리자드에 대해 어떤 정보를 가지고 있는지 파악하기 위한 캠페인으로 보인다.
오오스 앱에 대한 공략
MS가 분석한 바에 의하면 공격은 다음과 같은 순서대로 진행됐다.
1) 비밀번호 스프레이 공격을 통해 생산 작업과 관련이 없는 오래된 실험용 계정을 통해 접근했다.
2) 이 때 정상적인 거주 IP 주소들을 대량으로 활용했다.
3) 거주 프록시 인프라를 공략했으므로 자신들의 악성 행위를 효과적으로 감출 수 있었고, 탐지 기술도 회피할 수 있었다.
4) 실험용 계정을 확보하는 데 성공한 공격자들은 이를 활용해 오래된 실험용 오오스 애플리케이션을 침해했다.
5) 실험용 오오스 애플리케이션들에 접근하는 데 성공한 이후 MS의 기업 환경에까지 침투했다.
6) 그런 후 악성 오오스 애플리케이션들을 추가로 생성하기도 했다
7) 오래된 오오스 애플리케이션이나 새로 생성한 오오스 애플리케이션을 활용해 오피스 365 익스체인지 메일함에 대한 접근 권한을 확보했다.
“결국 공격자들은 오오스를 악용해 네트워크에 지속적으로 드나들 수 있었습니다. 그렇게까지 일이 진행된다면 최초 접근하는 데 사용됐던 계정이 막힌다 하더라도 공격을 이어갈 수 있게 됐죠. 지속적으로 정보를 가져가려니 이런 작업이 필요했던 것으로 보입니다.” MS의 설명이다. 보안 업체 아스트릭스시큐리티(Astrix Security)의 연구 팀 수석인 탈 스크베레(Tal Skverer)는 “공격자들이 악성 오오스 토큰들을 활용한 건, 결국 최초 침투에 사용했던 계정이 탐지될 것을 알았기 때문”이라고 말하기도 한다.
“비밀번호 스프레이 공격은 어지간해서는 탐지가 곧바로 되는 공격 기법입니다. 공격자로서는 시간 제한이 분명하다는 것이죠. 그래서 시간이 있을 때 얼른 오오스 앱들을 활용해 기업 내부에서 자신들의 권한을 높여둔 것입니다. 그러면서 만료되지 않는 오오스 접근 토큰을 만들어 스스로에게 부여하기도 했고요.”
오오스의 악용, 어떻게 대처해야 하는가
그렇다면 MS는 이러한 공격에 대처하고자 하는 조직들을 위해 어떤 가이드라인을 내놓았을까? 가장 먼저는 모든 계정들과 아이덴티티들과 관련된 권한을 감사하고 필요에 맞게 조정하는 것이 필요하다고 MS는 강조한다. 특히 높은 권한을 가진 계정들을 조사하는 게 중요하다는 게 MS의 설명이다. “만약 정체 불명 혹은 소유주 불명의 계정에 높은 권한이 부여된 것이 감사를 통해 발견된다면 즉각적인 조치를 취해야 합니다. 예전에 사용되던 것, 사용자가 퇴사한 계정들 역시 이 범주에 들어갑니다. 최소한의 권한을 부여한다는 원칙을 분명히 지켜야 안전해집니다.”
그 다음 MS가 권한 건 익스체인지 온라인(Exchange Online) 내에서 ‘ApplicationImpersonation’ 권한을 가진 아이덴티티들을 감사하는 것이다. 이 권한을 가진 사용자나 서비스는 특정 사용자나 서비스와 동일한 권한을 가지고 동일한 작업을 할 수 있게 된다. “이 권한을 잘못 설정하거나 너무 많이 부여하면 이메일 편지함에 접근하여 온갖 정보를 열람할 수 있게 됩니다. 이 권한을 가진 사용자나 서비스가 무엇인지 파악하고, 그것이 타당하게 부여된 것인지 꼼꼼하게 확인하는 것이 중요합니다.”
또한 MS는 “비정상 행위 탐지 정책을 구축하고 도입함으로써, 관리되지 않는 서비스에서부터 갑자기 연결을 요청하는 계정들의 움직임을 일단 차단하고 점검할 수 있도록 해야 한다”고 강조하기도 했다. “사실상 죽어 있던 계정이나 서비스가 갑자기 부활하면 누가 봐도 이상한 것이죠. 하지만 이런 일이 일어나기 전까지 이를 규정으로 정해 도입하는 경우는 거의 없습니다.”
3줄 요약
1. 얼마 전 이메일 침해 당한 MS, 해당 사건 발판 삼아 새 보안 안내문 발표.
2. 오오스 토큰 악용해 피해자 네트워크 내에서 권한 높이고 각종 정보 빼간 미드나이트블리자드.
3. 권한 설정과 계정 관리의 꼼꼼함이 관건.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트가 국가의 지원을 받는 고차원적인 해커들의 공격에 대한 방어법이 담긴 새로운 가이드라인을 발표했다. 주로 악성 오오스(OAuth) 앱을 통해 숨어드는 공격자들의 전략에 어떻게 대처해야 하는지에 집중하고 있었다. 얼마 전 자사 고위급 간부들의 이메일이 러시아 APT 단체들에 의해 침해된 것을 염두에 둔 움직임으로 보인다.
[이미지 = gettyimagesbank]
얼마 전 MS는 이른 바 미드나이트블리자드(Midnight Blizzard)라는 해킹 단체의 공격을 받았다. 미드나이트블리자드는 코지베어(Cozy Bear)라고도 불리는 APT 조직이며 러시아의 해외 첩보 기관인 SVR과 관련이 깊다. 이들은 일부 마이크로소프트 임직원들의 이메일 계정을 침해하는 데 성공한 것 때문에 얼마 전 여러 매체의 헤드라인에 올라갔다. 2023년 11월 하반기부터 공격자들은 이메일 침투에 성공해 여러 가지 정보를 가져간 것으로 분석됐다. 공격자들은 MS만이 아니라 HPE도 비슷하게 침해했었다. 보안 기능을 가진 기업들이 SVR이나 미드나이트블리자드에 대해 어떤 정보를 가지고 있는지 파악하기 위한 캠페인으로 보인다.
오오스 앱에 대한 공략
MS가 분석한 바에 의하면 공격은 다음과 같은 순서대로 진행됐다.
1) 비밀번호 스프레이 공격을 통해 생산 작업과 관련이 없는 오래된 실험용 계정을 통해 접근했다.
2) 이 때 정상적인 거주 IP 주소들을 대량으로 활용했다.
3) 거주 프록시 인프라를 공략했으므로 자신들의 악성 행위를 효과적으로 감출 수 있었고, 탐지 기술도 회피할 수 있었다.
4) 실험용 계정을 확보하는 데 성공한 공격자들은 이를 활용해 오래된 실험용 오오스 애플리케이션을 침해했다.
5) 실험용 오오스 애플리케이션들에 접근하는 데 성공한 이후 MS의 기업 환경에까지 침투했다.
6) 그런 후 악성 오오스 애플리케이션들을 추가로 생성하기도 했다
7) 오래된 오오스 애플리케이션이나 새로 생성한 오오스 애플리케이션을 활용해 오피스 365 익스체인지 메일함에 대한 접근 권한을 확보했다.
“결국 공격자들은 오오스를 악용해 네트워크에 지속적으로 드나들 수 있었습니다. 그렇게까지 일이 진행된다면 최초 접근하는 데 사용됐던 계정이 막힌다 하더라도 공격을 이어갈 수 있게 됐죠. 지속적으로 정보를 가져가려니 이런 작업이 필요했던 것으로 보입니다.” MS의 설명이다. 보안 업체 아스트릭스시큐리티(Astrix Security)의 연구 팀 수석인 탈 스크베레(Tal Skverer)는 “공격자들이 악성 오오스 토큰들을 활용한 건, 결국 최초 침투에 사용했던 계정이 탐지될 것을 알았기 때문”이라고 말하기도 한다.
“비밀번호 스프레이 공격은 어지간해서는 탐지가 곧바로 되는 공격 기법입니다. 공격자로서는 시간 제한이 분명하다는 것이죠. 그래서 시간이 있을 때 얼른 오오스 앱들을 활용해 기업 내부에서 자신들의 권한을 높여둔 것입니다. 그러면서 만료되지 않는 오오스 접근 토큰을 만들어 스스로에게 부여하기도 했고요.”
오오스의 악용, 어떻게 대처해야 하는가
그렇다면 MS는 이러한 공격에 대처하고자 하는 조직들을 위해 어떤 가이드라인을 내놓았을까? 가장 먼저는 모든 계정들과 아이덴티티들과 관련된 권한을 감사하고 필요에 맞게 조정하는 것이 필요하다고 MS는 강조한다. 특히 높은 권한을 가진 계정들을 조사하는 게 중요하다는 게 MS의 설명이다. “만약 정체 불명 혹은 소유주 불명의 계정에 높은 권한이 부여된 것이 감사를 통해 발견된다면 즉각적인 조치를 취해야 합니다. 예전에 사용되던 것, 사용자가 퇴사한 계정들 역시 이 범주에 들어갑니다. 최소한의 권한을 부여한다는 원칙을 분명히 지켜야 안전해집니다.”
그 다음 MS가 권한 건 익스체인지 온라인(Exchange Online) 내에서 ‘ApplicationImpersonation’ 권한을 가진 아이덴티티들을 감사하는 것이다. 이 권한을 가진 사용자나 서비스는 특정 사용자나 서비스와 동일한 권한을 가지고 동일한 작업을 할 수 있게 된다. “이 권한을 잘못 설정하거나 너무 많이 부여하면 이메일 편지함에 접근하여 온갖 정보를 열람할 수 있게 됩니다. 이 권한을 가진 사용자나 서비스가 무엇인지 파악하고, 그것이 타당하게 부여된 것인지 꼼꼼하게 확인하는 것이 중요합니다.”
또한 MS는 “비정상 행위 탐지 정책을 구축하고 도입함으로써, 관리되지 않는 서비스에서부터 갑자기 연결을 요청하는 계정들의 움직임을 일단 차단하고 점검할 수 있도록 해야 한다”고 강조하기도 했다. “사실상 죽어 있던 계정이나 서비스가 갑자기 부활하면 누가 봐도 이상한 것이죠. 하지만 이런 일이 일어나기 전까지 이를 규정으로 정해 도입하는 경우는 거의 없습니다.”
3줄 요약
1. 얼마 전 이메일 침해 당한 MS, 해당 사건 발판 삼아 새 보안 안내문 발표.
2. 오오스 토큰 악용해 피해자 네트워크 내에서 권한 높이고 각종 정보 빼간 미드나이트블리자드.
3. 권한 설정과 계정 관리의 꼼꼼함이 관건.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)