2019.08.05

링크드인 통한 오피스 356 공격··· 해커가 '취약한 링크'를 찾는 방법

Susan Bradley | CSO
해커는 기업 네트워크에 침입하기 위해 다양한 기술을 사용한다. 예를 들면 목표로 한 기업의 직원을 찾아내 이들에게 피싱 공격을 한다.
 
ⓒ Getty Images Bank

유명 해커인 케빈 미트닉은 더 많은 기업 정보를 얻기 위해 기업일람까지 뒤진 것으로 알려졌지만, 이제는 우리가 모두 케빈 미트닉이 수집한 것보다 더 많은 정보에 훨씬 쉽게 접근할 수 있다. 바로 링크드인이다. 이 소셜 네트워크는 해킹 목표를 결정할 때 훌륭한 출발점이 되곤 한다. 필요한 사용자 이름과 이메일 주소를 얻는 소스가 되기도 한다.

링크드인 스크래핑을 통한 오피스 365 공격
OSINTframework에서 지적한 것처럼 해커가 링크드인에서 정보를 수집할 수 있는 툴은 매우 다양하다. LinkedInt, ScrapeIn, Inspy 같은 스크래핑 툴을 이용하면 해커가 도메인별로 이메일 주소를 수집할 수 있다. 일단 해커가 목표로 하는 사용자의 이메일 주소를 확보하면 해커가 기업 네트워크에 침입하기 위해 사용할 수 있는 기술은 수없이 많다.

그중 하나가 오피스 365를 겨냥한 office365userenum이다. 이 툴을 이용하면 해커가 가능한 사용자 이름을 테스트한 후 그 대응을 관찰할 수 있다. 많은 사용자명이 이메일 주소에서 시작된다는 점을 고려해 잠재적 해커는 이메일 주소를 특정할 수 있다. 그리고 이 이메일을 이용해 유효한 사용자 계정인지 확인한다. 일단 유효한 사용자명을 찾으면 추가로 공격할 수 있는 다른 유효한 사용자 리스트를 만들 수 있다. 이 툴이 액티브싱크  서비스에 명령을 보내면 사용자명이 존재하는지 확인하는 데 사용하는 코드와 함께 반환해주기 때문이다.

이제 해커는 암호를 유추하는 방식으로 이 계정에 대한 직접 해킹을 시도할 수 있다. 또는 알려진 유효한 사용자로 목표로 한 피싱 공격에 이 이메일 주소와 사용자명을 사용할 수 있다. office365userenum 툴은 어떤 사용자가 이중인증을 활성화했는지, 기업 내 약한 링크에 대해 조치를 하지 않았는지 등을 알려준다. 예를 들면 업무용으로 공유된 메일함은 사용자가 상대적으로 덜 신경 쓰고 암호가 허술하거나 이중인증을 하지 않는 경우가 있다. 이런 약한 링크는 기업 네트워크에 대한 접속에 악용되거나 혹은 비밀번호를 유추하는 데 종종 활용된다.

오피스 365 공격을 막는 방법
마이크로소프트는 이러한 사용자 목록 공격이 보안 취약점이 아니라는 입장이었다. 오히려 액티브싱크 서비스의 기능이라고 설명했다. 결국 이 기능을 비활성화는 방법은 없지만 알림을 설정할 수는 있다. 즉, 이런 알림이 뜨면, 사용자가 짧은 순간에 여러 번 로그인에 실패하면 해커가 네트워크를 조사하고 있다는 신호일 수 있다.

피싱 공격은 너무도 흔하게 오피스 365 계정을 공격하는 수단으로 악용돼 왔다. 다른 고객 계정을 관리하는 컨설턴트가 해커의 주요 표적이었다. 이에 따라 8월 1일부터 마이크로소프트는 다른 고객 계정을 관리하는 파트너와 컨설턴트가 이중인증을 사용할 수 있도록 허용한다. 오피스 365 관련 지원을 받는 컨설턴트와 협업하고 있다면 이런 새로운 권한이 부여된 것에 대해 알고 있는지 확인하는 것도 좋다. 오피스 365가 네트워크로의 침입 경로가 되지 않도록 할 수 있는 모든 일을 하도록 요청해야 한다. 기본 인증을 비활성화하는 것도 확인할 필요가 있다.

혹시 곧 라스베이거스에서 열리는 블랙 햇 시큐리티 컨퍼런스에 참석할 예정이라면, 마이크로소프트의 수석 프로그램 매니저인 마크 모라우젠스키와 트리마크의 CTO 신 맷캘프의 대담을 들어보는 것도 추천한다. 토론 주제가 '마이크로소프트 클라우드(오피스 365와 애저 AD)에 대한 공격과 방어(Attacking and Defending the Microsoft Cloud (Office 365 & Azure AD))다. 마이크로소프트 클라우드에 대한 가장 일반적인 공격에 대해 많은 논의가 진행될 예정이다. 여기에는 최근 크게 확산해 US Cert조차 심각하게 보고 있는 비밀번호 살포(Password spraying) 공격도 포함돼 있다.

마이크로소프트는 비밀번호 살포 기술을 방어하는 데 도움이 되는 요령을 블로그를 통해 자세히 공개했다. 다른 참고자료도 있다. 핵심은 이중인증을 활성화하고 암호 정책을 변경하고 해커가 쉽게 유추할 수 있는 취약한 비밀번호를 피하도록 사용자를 교육하는 것이다. 어떤 의미에서 사용자야말로 기업의 가장 약한 링크다. 사용자와 함께 기업이 공격 목표에서 벗어날 방법을 함께 고민하는 데 충분한 시간을 들이는 것이 좋다. ciokr@idg.co.kr


2019.08.05

링크드인 통한 오피스 356 공격··· 해커가 '취약한 링크'를 찾는 방법

Susan Bradley | CSO
해커는 기업 네트워크에 침입하기 위해 다양한 기술을 사용한다. 예를 들면 목표로 한 기업의 직원을 찾아내 이들에게 피싱 공격을 한다.
 
ⓒ Getty Images Bank

유명 해커인 케빈 미트닉은 더 많은 기업 정보를 얻기 위해 기업일람까지 뒤진 것으로 알려졌지만, 이제는 우리가 모두 케빈 미트닉이 수집한 것보다 더 많은 정보에 훨씬 쉽게 접근할 수 있다. 바로 링크드인이다. 이 소셜 네트워크는 해킹 목표를 결정할 때 훌륭한 출발점이 되곤 한다. 필요한 사용자 이름과 이메일 주소를 얻는 소스가 되기도 한다.

링크드인 스크래핑을 통한 오피스 365 공격
OSINTframework에서 지적한 것처럼 해커가 링크드인에서 정보를 수집할 수 있는 툴은 매우 다양하다. LinkedInt, ScrapeIn, Inspy 같은 스크래핑 툴을 이용하면 해커가 도메인별로 이메일 주소를 수집할 수 있다. 일단 해커가 목표로 하는 사용자의 이메일 주소를 확보하면 해커가 기업 네트워크에 침입하기 위해 사용할 수 있는 기술은 수없이 많다.

그중 하나가 오피스 365를 겨냥한 office365userenum이다. 이 툴을 이용하면 해커가 가능한 사용자 이름을 테스트한 후 그 대응을 관찰할 수 있다. 많은 사용자명이 이메일 주소에서 시작된다는 점을 고려해 잠재적 해커는 이메일 주소를 특정할 수 있다. 그리고 이 이메일을 이용해 유효한 사용자 계정인지 확인한다. 일단 유효한 사용자명을 찾으면 추가로 공격할 수 있는 다른 유효한 사용자 리스트를 만들 수 있다. 이 툴이 액티브싱크  서비스에 명령을 보내면 사용자명이 존재하는지 확인하는 데 사용하는 코드와 함께 반환해주기 때문이다.

이제 해커는 암호를 유추하는 방식으로 이 계정에 대한 직접 해킹을 시도할 수 있다. 또는 알려진 유효한 사용자로 목표로 한 피싱 공격에 이 이메일 주소와 사용자명을 사용할 수 있다. office365userenum 툴은 어떤 사용자가 이중인증을 활성화했는지, 기업 내 약한 링크에 대해 조치를 하지 않았는지 등을 알려준다. 예를 들면 업무용으로 공유된 메일함은 사용자가 상대적으로 덜 신경 쓰고 암호가 허술하거나 이중인증을 하지 않는 경우가 있다. 이런 약한 링크는 기업 네트워크에 대한 접속에 악용되거나 혹은 비밀번호를 유추하는 데 종종 활용된다.

오피스 365 공격을 막는 방법
마이크로소프트는 이러한 사용자 목록 공격이 보안 취약점이 아니라는 입장이었다. 오히려 액티브싱크 서비스의 기능이라고 설명했다. 결국 이 기능을 비활성화는 방법은 없지만 알림을 설정할 수는 있다. 즉, 이런 알림이 뜨면, 사용자가 짧은 순간에 여러 번 로그인에 실패하면 해커가 네트워크를 조사하고 있다는 신호일 수 있다.

피싱 공격은 너무도 흔하게 오피스 365 계정을 공격하는 수단으로 악용돼 왔다. 다른 고객 계정을 관리하는 컨설턴트가 해커의 주요 표적이었다. 이에 따라 8월 1일부터 마이크로소프트는 다른 고객 계정을 관리하는 파트너와 컨설턴트가 이중인증을 사용할 수 있도록 허용한다. 오피스 365 관련 지원을 받는 컨설턴트와 협업하고 있다면 이런 새로운 권한이 부여된 것에 대해 알고 있는지 확인하는 것도 좋다. 오피스 365가 네트워크로의 침입 경로가 되지 않도록 할 수 있는 모든 일을 하도록 요청해야 한다. 기본 인증을 비활성화하는 것도 확인할 필요가 있다.

혹시 곧 라스베이거스에서 열리는 블랙 햇 시큐리티 컨퍼런스에 참석할 예정이라면, 마이크로소프트의 수석 프로그램 매니저인 마크 모라우젠스키와 트리마크의 CTO 신 맷캘프의 대담을 들어보는 것도 추천한다. 토론 주제가 '마이크로소프트 클라우드(오피스 365와 애저 AD)에 대한 공격과 방어(Attacking and Defending the Microsoft Cloud (Office 365 & Azure AD))다. 마이크로소프트 클라우드에 대한 가장 일반적인 공격에 대해 많은 논의가 진행될 예정이다. 여기에는 최근 크게 확산해 US Cert조차 심각하게 보고 있는 비밀번호 살포(Password spraying) 공격도 포함돼 있다.

마이크로소프트는 비밀번호 살포 기술을 방어하는 데 도움이 되는 요령을 블로그를 통해 자세히 공개했다. 다른 참고자료도 있다. 핵심은 이중인증을 활성화하고 암호 정책을 변경하고 해커가 쉽게 유추할 수 있는 취약한 비밀번호를 피하도록 사용자를 교육하는 것이다. 어떤 의미에서 사용자야말로 기업의 가장 약한 링크다. 사용자와 함께 기업이 공격 목표에서 벗어날 방법을 함께 고민하는 데 충분한 시간을 들이는 것이 좋다. ciokr@idg.co.kr


X