인증정보 분실! 인터넷에서 일반 텍스트 인증정보 찾기
편집 및 추가 설명: 트리샤 하워드(Tricia Howard)
핵심 요약
Akamai Guardicore Segmentation을기반으로 하는 선제적 위협 탐지 서비스인 Akamai Hunt는인터넷에서 금융 기관에 대한 정상적인 금융 기관용 일반 텍스트 인증정보를 발견했습니다.
탐지 후, 상황은 24시간 이내에 전달되고 해결되었습니다.
이 블로그 게시물에서는 이러한 발견 및 조사에 대한 분석과 고객에게 권장된 방어 조치에 대해 설명합니다.
개인정보 보호를 위해, 당사는 이미지와 사본의 정보를 대폭 수정했습니다.
서론
위협 탐지 서비스라 해도 매일 인터넷에서 일반 텍스트 인증정보를 찾는 것은 아닙니다.
Akamai Hunt 팀은 고객 네트워크에서 비정상, 위협 및 리스크를 탐지하는 데 전념하는 선제적 위협 탐지 작업자로 구성되어 있습니다. 사이버 보안 세계에서 가장 큰 리스크 중 하나는 데이터 유출이며, 당사는 이를 방지하기 위해 노력하고 있습니다. 당사는 예방, 탐지 또는 방어와 같은 모든 측면에서 고객을 위한 특별한 눈과 귀가 되어줄 방법론을 가지고 있습니다.
조사가 어떤 결과를 가져올지는 알 수 없지만, 이 게시물에서는 전하는 이야기는 조금 특별합니다. 당사는 의심스러운 Python 스크립트를 탐지하고 디컴파일한 후 금융 기관용 일반 텍스트 도메인 사용자 인증정보라는상상할 수 없는 사실을 발견했습니다. 특히 금융 기관에서 이러한 수준의 접속 권한을 가진 악성 공격자에게는 한계가 없습니다 (걱정하지 마세요. 이 이야기는 해피엔딩입니다).
기업의 사이버 보안에서 가장 큰 위협은 인적 요소입니다. 이 블로그 게시물에서는 조사 및 조사 결과에 대해 논의하고 다른 보안 전문가를 위한 추가적인 가이드도 제공합니다.
탐지 경로
위협은 파일에 숨어 있고, 파일은 폴더에 숨겨져 있습니다. 임시 파일과 다운로드는 사용자가 관리하지 않는 경우가 많기 때문에 멀웨어를 숨길 수 있는 좋은 장소이며, 정상적인 명령 이름을 모방하여 검사를 하는 사용자도 속일 수 있습니다.
당사의 선제적 탐지 메커니즘 중에 특정 폴더를 지속적으로 모니터링하고 이를 알려진 기준선과비교하는 방법이 있습니다.
당사는 리서치를 통해 공격자가 일반적으로 악성 파일을 드롭하는 경로 목록을 작성했습니다. 그리고 해당 경로를 표시하고 제한된 경로 목록에서 생성된 새로운 실행 파일과 스크립트를 조사했습니다.
다음은 여기에서 찾은 몇 가지 경로입니다.
C:\Users\Public
C:\Users\<username>\Downloads
C:\Windows\Temp
C:\Users\<username>\AppData\Local\Temp
새로운 파일이 발견되면 다음과 같은 몇 가지 검사를 실행하여 다음과 같이 알림의 가치가 있는지 확인합니다.
실행 파일에 의해 이루어진 연결
다른 네트워크 자산에 존재
내부 인텔리전스 피드 및 VirusTotal과 같은 퍼블릭 피드
당사는 2023년 10월에 다운로드 폴더에 갑자기 동시에 나타나는 몇 가지 파일을 탐지했습니다(그림 1).
그림 1: 새로운 파일 발견
특히 한 파일이 눈에 띄었습니다. 최근에 생성되었지만 이 고객의 네트워크에는 없었습니다. 그러나 이는 VirusTotal(그림 2)에서 확인되었으며, 이는 많은 소스에서 악성으로 표시되었음을 나타냅니다. 이 파일은 VirusTotal 페이지에서 다운로드할 수 있었습니다.
그림 2: 수정된 VirusTotal 결과
당사는 PyInstaller에서 패키지된 바이너리 파일임을 알아냈습니다. 그리고 이 바이너리 파일을 디컴파일하여 Python 소스 코드를 얻은 다음 직접 조사했습니다.
조사
이제 작업할 내용을 알았으므로 파일 조사를 시작할 수 있습니다. 이 파일이 만든 연결, 이 파일을 실행한 사람, 공격자가 다운로드했을 수 있는 기타 의심스러운 파일, 그리고 의심스러운 자산과 관련된 더 많은 탐지 방법을 확인했습니다.
이 파일은 써드파티 공급업체와 관련된 많은 디바이스로 전달되었으며, 이는 써드파티 디바이스에서 어느 정도의 정상성이 확인되었음을 의미하기 때문에 플래그를 지정했습니다. 이 스크립트는 많은 양성 엔진과 VirusTotal에서 발견되었기 때문에, 매우 우려가 되었습니다.
당사는 pycdc을 사용하여 파일을 디컴파일했으며 처음에는 일반적인 IT 파일인 것처럼 보였습니다. 그러나 이 스크립트는 다음 세 단계를 실행하는 백업 스크립트로 밝혀졌습니다.
IP 주소 목록 읽기
각 IP에 연결
설정 및 버전 백업
놀랍게도 인증정보가 있었습니다!
여기서부터 이야기가 재밌어집니다. 스크립트를 실행하려면 인증이 필요합니다. 여기에 도메인 사용자의 인증정보가 포함되어 있었습니다. 그런데 실제로 정상적인 사용자임이 밝혀지면서 이야기는 더 이상해졌습니다. 그뿐만 아니라 이 사용자의 접속 수준도 상당히 높았습니다. 일반 텍스트 인증정보가 포함된 백업 스크립트가 왜 인터넷에서 발견된 것일까요?
당사는 즉시 고객에게 연락했고, 고객은 실제로 정상적인 스크립트임을 확인했습니다. 이는 내부에서 생성되어 실수로 VirusTotal에 업로드된 실제 IT 스크립트였습니다(그림 3).
그림 3: 정상적인 사용자임을 증명하는 쿼리 세부 정보
방어
보안에서 항상 해피엔딩을 맞지는 못하지만, 이번 이야기는 다행히도 잘 끝났습니다. Hunt 팀은 24시간 이내에 이 상황을 발견하고 해결한 후 결과를 전달했습니다. 인터넷에서 일반 텍스트 인증정보를 찾게 되면 큰 피해를 막기 위해 신속하게 움직이는 것이 좋습니다.
당사는 고객에게 연락한 후 몇 가지 권장 방어 조치를 제공했습니다.
노출된 사용자 및 파일이 접속한 영향을 받는 디바이스의 사용자 암호 변경
이러한 종류의 활동에 대한 관리 시스템 배포
보안 인식 실천 - 개인 데이터가 도난될 수 있으므로 신뢰할 수 없는 소프트웨어 설치 금지
고객은 신속하고 적극적으로 대응하여 문제를 해결했습니다.
결론
인적 오류와 개발자 보안은 사이버 보안에서 가장 인기 있는 두 가지 주제이며, 이 이야기는 이 두 가지를 포괄하는 훌륭한 예입니다. 이 상황이 꽤 오랫동안 감지되지 않았을 수도 있다는 것이 합리적인 가정이며, 지금이라도 발견한 것이 최상의 시나리오일 수 있습니다. 그렇지 않았다면 재앙이 초래되었을 수도 있습니다. 특히 금융 기관에서 높은 수준의 인증정보를 사용했다면 불법적인 조직이 어떤 피해를 입혔을지 상상도 할 수 없습니다.
선제적 위협 탐지 서비스를 제공하는 Akamai Hunt 팀은 대규모로 보안 커뮤니티를 지원하기 위해 이 시나리오와 같이 Akamai가 관찰하는 실제 시나리오를 지속적으로 분석하고 게시할 예정입니다.
Akamai 팔로우하기
이러한 업데이트 및 기타 최신 보안 리서치를 확인하려면 X(이전의 Twitter)에서 Akamai를 팔로우하시기 바랍니다.