희화화 되는 피싱이지만 우습게 보면 안 된다. ‘공격자들이 끊임없이 투자하고 있어서’다. 돈이 들어가면 사람 본판도 바뀌는데, 사이버 사기술은 더하다.
3줄 요약
1. 새로운 피싱 키트 ‘스니키2FA’ 등장.
2. 독특한 중간자 공격으로 인증 과정 통과하는 게 특징.
3. 완전한 공격 도구 아니나, 공격자 편의 진화 드러냄.
[보안뉴스 문가용 기자] 일부 공격자들 사이에서 사용되고 있는 새로운 피싱 키트가 발견됐다. 최소 2024년 10월부터 유포된 것으로 보이며, 독특한 중간자 공격을 할 수 있게 해 주는 것으로 분석됐다. MS365 계정을 겨냥한 이 피싱 키트는 스니키로그(Sneaky Log)라고 하는 사이버 범죄 집단이 구독형 상품으로 제공하고 있으며, 이름은 스니키2FA(Sneaky 2FA, 이하 ‘스니키’)이다. 보안 업체 세코이아(Sekoia)가 소스코드를 입수해 분석을 진행했다.
[이미지 = gettyimagesbank]
스니키의 특징 : URL 생성 패턴과 분석 방해 기술
스니키는 피해자를 여러 번 피싱 페이지에 우회 접속시키는데, 그 때마다 URL들을 생성한다. 생성에는 패턴이 존재한다. 또, 가짜 MS 인증 페이지를 띄워 피해자를 속이는데, 이 때 URL들은 150개의 알파벳 뒤에 /index, /verify, /validate라는 문자열을 추가하는 식으로 생성된다.
스니키가 생성하는 피싱 페이지에는 안티 디버깅 기술도 탑재되어 있었다. 브라우저 개발자 도구를 활용한 분석 행위를 방해하기 위한 것으로, 위키킷(WikiKit)이라는 또 다른 피싱 키트에서 발견되는 분석 방해 기술과 유사하다고 세코이아는 설명한다. “그것 외에도 HTML과 자바스크립트를 난독화 하기도 합니다. 먼저 가짜 MS 인증 페이지의 경우, 진짜 MS 페이지에서 복사한 텍스트를 HTML 태그로 나눠서 임베드 합니다. 보안 스캔 도구가 탐지하는 걸 막기 위한 접근법으로 보입니다.”
스니키 피싱 페이지의 또 다른 특징은 접속한 사용자가 봇인지 사람인지 확인한다는 것인데, 이 때 사용하는 것은 리캡챠(reCAPTCHA)나 클라우드플레어 턴스틸(Cloudflare Turnstile)이다. 실제 피싱 공격은 바로 이 턴스틸 확인 절차에서부터 시작되는 게 보통이라고 세코이아는 설명한다.
“일반적으로 스니키를 활용한 피싱 공격은 클라우드플레어 턴스틸 챌린지가 포함되어 있는 웹 페이지에서 시작됩니다. 피해자가 이 과정을 통과하면 다른 URL이 생성되고 또 다른 피싱 페이지에 접속됩니다. 이 때 안티 디버깅 기능이 발동됩니다. 여기서 피해자는 한 번 더 캡챠 퍼즐을 풀어야 하는데, 통과하면 다음 피싱 페이지로 접속됩니다. 가짜 MS 인증 페이지입니다. 피해자가 입력하는 크리덴셜이 공격자에게 넘어갑니다.”
그런데 문제는 요즘 이중인증이 활성화 된 사례가 많다는 거다. 비밀번호 하나만 가져가서는 도움이 안 된다. 그래서 스니키는 한 번 도 공격을 실시한다. 받아낸 크리덴셜을 실제 MS 365 인증 서버에 보내 두 번째 인증을 위한 정보가 발송되면 중간에서 가로채는 것이다. “이것이 스니키의 중간자 공격이죠. 다만 프록시를 사용하는 게 아니라 직접 피싱 서버에서 처리를 하다보니 흔적이 남고, 이것이 탐지의 힌트가 됩니다.”
스니키 배후의 사업가들
세코이아는 스니키의 분석을 진행하면서, 이를 운영하는 배후 세력인 스니키로그도 조사했다. “이들은 기본적으로 스니키를 대여해주는 방식으로 돈을 벌고 있습니다. 여러 포럼에서 홍보 활동을 하기도 합니다. 또 텔레그램도 이들의 무대가 됩니다. 저희는 이들을 추적하다가 텔레그램에서는 @SneakyLog-bot이라는 봇을 통해 광고와 판매를 진행한다는 걸 알아냈습니다. @SneakySupport_bot이라는 것도 있었는데, 이것은 고객 상담을 위한 자동화 봇이었습니다.”
스니키 운영자들은 비트코인, 트론, 이더리움, 라이트코인, 바이낸스 체인 기반 테더만으로 거래를 진행하는 것으로 보인다. 텔레그램 봇들은 거래를 진행할 때마다 새로운 암호화폐 주소를 생성해 고객에게 알려주는데, 늘 거래 이력이 없는 주소들인 것으로 분석됐다. “이렇게 함으로써 전통적인 블록체인 분석 기법으로 자금의 흐름을 찾아내거나 방해하지 못하게 하려는 것으로 추정됩니다. 하지만 일부 주소는 약간의 거래 이력을 가지고 있기도 합니다.”
어떻게 탐지하고 추적하는가
스니키를 이용한 공격을 탐지하려면 먼저 MS 인증의 흐름을 이해해야 한다. MS 인증은 여러 단계로 구성되는데, 각 단계마다 클라이언트는 MS 인증 API에 HTTP 요청을 보낸다. MS 365 감사 로그에는 인증 단계 이름과 클라이언트의 유저에이전트 문자열과 같은 정보가 포함된 이벤트가 생성된다. 동일한 인증 시도에서 발생하는 모든 이벤트는 코릴레이션아이디(Correlation ID)라는 고유 식별자를 통해 그룹화할 수 있다. 이 ID는 인증 흐름이 시작될 때마다 생성된다
“그런데 스니키는 인증이 단계별로 진행됨에 따라 미리 하드코딩 된 유저에이전트 문자열을 사용합니다. 정상적인 인증 단계에서는 나타나지 않는 현상이죠. 정상적인 사용자 입장에서는 크롬 브라우저로 로그인을 시도했으면, 완료도 크롬 브라우저에서 하겠죠. 그러면 유저에이전트가 달라지지 않습니다. 하지만 스니키를 사용하면 갑자기 이 유저에이전트가 달라지는 겁니다. 무슨 뜻인가요? 사용자가 크롬 브라우저에서 로그인을 시도했는데 파이어폭스에서 로그인을 완료했다는 게 됩니다. 정상적인 상황에서 나타나기 힘든 시나리오죠. 이 현상을 이용하면 스니키를 높은 확률로 탐지할 수 있게 됩니다.”
그래서?
피싱 키트는 계속해서 개발되고, 계속해서 거래되며, 계속해서 강력해진다. 피싱 키트가 중간자 공격까지 실시하는 게 매우 혁신적이었던 게 얼마 전의 일인데, 이제는 새로운 방식으로 중간자 공격을 시도하는 키트까지 등장했다. 그리고 운영자들은 그 사실을 다크웹과 텔레그램에 광고하며 고객들을 유치하고 있는데, 광고와 거래, 결제, 심지어 고객 상담까지 대부분 자동으로 진행된다.
피싱 공격이라고 하면 대다수 사용자들이 가볍게 여기는 경향이 있는데, 정말 피싱이 유치하고 단순한 거라면 공격자들이 여기에 지속적으로 투자할 리 만무하다. 일반적인 인식과 달리 피싱은 끊임없이 벼려지고 있고 위협적으로 진화하는 중이다. 특히 중간자 공격으로 각종 인증 메시지를 가로채는 유형의 피싱 키트의 등장은 피싱 산업 자체를 한 단계 업그레이드 시키는 효과까지 낳았다.
“개개인이 유의해야 하는 건 변함없는 사실입니다. 하지만 각종 전략과 키트의 발전으로 일반 개인의 날카로운 감각에만 의존해 공격자들의 속임수를 다 막아내는 건 점점 불가능해지고 있습니다. 새로운 피싱 키트의 탐지법들이 등장할 때마다 각 조직의 보안 담당자들이 이를 탐구하고 적용해 기술적으로 구성원들을 보호할 수 있어야 합니다.”
위협적인 피싱 키트인 스니키에 대한 보다 상세한 기술 정보와 공격 시나리오, 스니키로그의 고도화 된 사업 방식과 탐지와 추적 기법은 23일 발행되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 새로운 피싱 키트 ‘스니키2FA’ 등장.
2. 독특한 중간자 공격으로 인증 과정 통과하는 게 특징.
3. 완전한 공격 도구 아니나, 공격자 편의 진화 드러냄.
[보안뉴스 문가용 기자] 일부 공격자들 사이에서 사용되고 있는 새로운 피싱 키트가 발견됐다. 최소 2024년 10월부터 유포된 것으로 보이며, 독특한 중간자 공격을 할 수 있게 해 주는 것으로 분석됐다. MS365 계정을 겨냥한 이 피싱 키트는 스니키로그(Sneaky Log)라고 하는 사이버 범죄 집단이 구독형 상품으로 제공하고 있으며, 이름은 스니키2FA(Sneaky 2FA, 이하 ‘스니키’)이다. 보안 업체 세코이아(Sekoia)가 소스코드를 입수해 분석을 진행했다.
[이미지 = gettyimagesbank]
스니키의 특징 : URL 생성 패턴과 분석 방해 기술
스니키는 피해자를 여러 번 피싱 페이지에 우회 접속시키는데, 그 때마다 URL들을 생성한다. 생성에는 패턴이 존재한다. 또, 가짜 MS 인증 페이지를 띄워 피해자를 속이는데, 이 때 URL들은 150개의 알파벳 뒤에 /index, /verify, /validate라는 문자열을 추가하는 식으로 생성된다.
스니키가 생성하는 피싱 페이지에는 안티 디버깅 기술도 탑재되어 있었다. 브라우저 개발자 도구를 활용한 분석 행위를 방해하기 위한 것으로, 위키킷(WikiKit)이라는 또 다른 피싱 키트에서 발견되는 분석 방해 기술과 유사하다고 세코이아는 설명한다. “그것 외에도 HTML과 자바스크립트를 난독화 하기도 합니다. 먼저 가짜 MS 인증 페이지의 경우, 진짜 MS 페이지에서 복사한 텍스트를 HTML 태그로 나눠서 임베드 합니다. 보안 스캔 도구가 탐지하는 걸 막기 위한 접근법으로 보입니다.”
스니키 피싱 페이지의 또 다른 특징은 접속한 사용자가 봇인지 사람인지 확인한다는 것인데, 이 때 사용하는 것은 리캡챠(reCAPTCHA)나 클라우드플레어 턴스틸(Cloudflare Turnstile)이다. 실제 피싱 공격은 바로 이 턴스틸 확인 절차에서부터 시작되는 게 보통이라고 세코이아는 설명한다.
“일반적으로 스니키를 활용한 피싱 공격은 클라우드플레어 턴스틸 챌린지가 포함되어 있는 웹 페이지에서 시작됩니다. 피해자가 이 과정을 통과하면 다른 URL이 생성되고 또 다른 피싱 페이지에 접속됩니다. 이 때 안티 디버깅 기능이 발동됩니다. 여기서 피해자는 한 번 더 캡챠 퍼즐을 풀어야 하는데, 통과하면 다음 피싱 페이지로 접속됩니다. 가짜 MS 인증 페이지입니다. 피해자가 입력하는 크리덴셜이 공격자에게 넘어갑니다.”
그런데 문제는 요즘 이중인증이 활성화 된 사례가 많다는 거다. 비밀번호 하나만 가져가서는 도움이 안 된다. 그래서 스니키는 한 번 도 공격을 실시한다. 받아낸 크리덴셜을 실제 MS 365 인증 서버에 보내 두 번째 인증을 위한 정보가 발송되면 중간에서 가로채는 것이다. “이것이 스니키의 중간자 공격이죠. 다만 프록시를 사용하는 게 아니라 직접 피싱 서버에서 처리를 하다보니 흔적이 남고, 이것이 탐지의 힌트가 됩니다.”
스니키 배후의 사업가들
세코이아는 스니키의 분석을 진행하면서, 이를 운영하는 배후 세력인 스니키로그도 조사했다. “이들은 기본적으로 스니키를 대여해주는 방식으로 돈을 벌고 있습니다. 여러 포럼에서 홍보 활동을 하기도 합니다. 또 텔레그램도 이들의 무대가 됩니다. 저희는 이들을 추적하다가 텔레그램에서는 @SneakyLog-bot이라는 봇을 통해 광고와 판매를 진행한다는 걸 알아냈습니다. @SneakySupport_bot이라는 것도 있었는데, 이것은 고객 상담을 위한 자동화 봇이었습니다.”
스니키 운영자들은 비트코인, 트론, 이더리움, 라이트코인, 바이낸스 체인 기반 테더만으로 거래를 진행하는 것으로 보인다. 텔레그램 봇들은 거래를 진행할 때마다 새로운 암호화폐 주소를 생성해 고객에게 알려주는데, 늘 거래 이력이 없는 주소들인 것으로 분석됐다. “이렇게 함으로써 전통적인 블록체인 분석 기법으로 자금의 흐름을 찾아내거나 방해하지 못하게 하려는 것으로 추정됩니다. 하지만 일부 주소는 약간의 거래 이력을 가지고 있기도 합니다.”
어떻게 탐지하고 추적하는가
스니키를 이용한 공격을 탐지하려면 먼저 MS 인증의 흐름을 이해해야 한다. MS 인증은 여러 단계로 구성되는데, 각 단계마다 클라이언트는 MS 인증 API에 HTTP 요청을 보낸다. MS 365 감사 로그에는 인증 단계 이름과 클라이언트의 유저에이전트 문자열과 같은 정보가 포함된 이벤트가 생성된다. 동일한 인증 시도에서 발생하는 모든 이벤트는 코릴레이션아이디(Correlation ID)라는 고유 식별자를 통해 그룹화할 수 있다. 이 ID는 인증 흐름이 시작될 때마다 생성된다
“그런데 스니키는 인증이 단계별로 진행됨에 따라 미리 하드코딩 된 유저에이전트 문자열을 사용합니다. 정상적인 인증 단계에서는 나타나지 않는 현상이죠. 정상적인 사용자 입장에서는 크롬 브라우저로 로그인을 시도했으면, 완료도 크롬 브라우저에서 하겠죠. 그러면 유저에이전트가 달라지지 않습니다. 하지만 스니키를 사용하면 갑자기 이 유저에이전트가 달라지는 겁니다. 무슨 뜻인가요? 사용자가 크롬 브라우저에서 로그인을 시도했는데 파이어폭스에서 로그인을 완료했다는 게 됩니다. 정상적인 상황에서 나타나기 힘든 시나리오죠. 이 현상을 이용하면 스니키를 높은 확률로 탐지할 수 있게 됩니다.”
그래서?
피싱 키트는 계속해서 개발되고, 계속해서 거래되며, 계속해서 강력해진다. 피싱 키트가 중간자 공격까지 실시하는 게 매우 혁신적이었던 게 얼마 전의 일인데, 이제는 새로운 방식으로 중간자 공격을 시도하는 키트까지 등장했다. 그리고 운영자들은 그 사실을 다크웹과 텔레그램에 광고하며 고객들을 유치하고 있는데, 광고와 거래, 결제, 심지어 고객 상담까지 대부분 자동으로 진행된다.
피싱 공격이라고 하면 대다수 사용자들이 가볍게 여기는 경향이 있는데, 정말 피싱이 유치하고 단순한 거라면 공격자들이 여기에 지속적으로 투자할 리 만무하다. 일반적인 인식과 달리 피싱은 끊임없이 벼려지고 있고 위협적으로 진화하는 중이다. 특히 중간자 공격으로 각종 인증 메시지를 가로채는 유형의 피싱 키트의 등장은 피싱 산업 자체를 한 단계 업그레이드 시키는 효과까지 낳았다.
“개개인이 유의해야 하는 건 변함없는 사실입니다. 하지만 각종 전략과 키트의 발전으로 일반 개인의 날카로운 감각에만 의존해 공격자들의 속임수를 다 막아내는 건 점점 불가능해지고 있습니다. 새로운 피싱 키트의 탐지법들이 등장할 때마다 각 조직의 보안 담당자들이 이를 탐구하고 적용해 기술적으로 구성원들을 보호할 수 있어야 합니다.”
위협적인 피싱 키트인 스니키에 대한 보다 상세한 기술 정보와 공격 시나리오, 스니키로그의 고도화 된 사업 방식과 탐지와 추적 기법은 23일 발행되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
