'쿠키' 태그의 글 목록

쿠키

“다크 웹에서 거래된 쿠키 540억 건 중, 한국이 동아시아 1위” 2024.04.19 1
구글 MultiLogin 취약점 2024.01.08

“다크 웹에서 거래된 쿠키 540억 건 중, 한국이 동아시아 1위”

2024. 4. 19. 20:19

요약	- 쿠키, 적합한 서비스 제공하지만 외부 유출 후 범죄자 악용 시 부작용 많아 - 다크 웹에서 거래된 쿠키 540억 중 약 1억 8600만 개의 쿠키는 한국 것
내용	- 쿠키 > 웹사이트와 사용자의 상호 작용에 관한 데이터가 포함된 작은 텍스트 파일 > 해당 파일에 담긴 정보는 인터넷 사용자가 동일한 웹사이트를 방문할 때마다 읽히며 수시로 새로운 정보로 변경 > 사용자가 인터넷 이용 상태를 파악할 수 있게 도와주며 이를 기반으로 사용자에게 적합한 서비스 제공을 가능하게 해줌 - 활성 쿠키와 비활성 쿠키 > 활성 쿠키: 현재 사용자의 세션에서 사용되며 로그인 상태를 유지하거나 세션 정보를 추적하는 데 사용 > 비활성 쿠키: 이전 세션에서 생성되었거나 현재 필요하지 않은 쿠키로 사용자의 활동을 추적하는 데 사용하지 않음 > 그러나, 비활성 쿠키에도 개인 정보가 포함되어 있을 수 있어 해커가 악용할 수 있음 - 광고 및 타겟마케팅에 대한 수요 급증으로 쿠키 기술 응용 또는 악용 현상 증가 > 해커들은 불법 경로로 쿠키를 거래해 범죄에 악용 - 노드VPN 조사 결과 > 쿠키를 빼내기 위해 사용된 악성 소프트웨어는 12개 > 해당 방식으로 국내에서 유출된 쿠키는 약 1억 8600만개 (활성쿠키 33%) > 대한민국은 전 세계 30위, 동아시아에서는 1위를 기록
기타	- 쿠키 유출로 인한 피해를 완벽히 방어하는 것은 불가능 > 자주 방문하는 사이트에서 주기적으로 쿠키 삭제 권장 > 믿을 수 있는 보안 솔루션 활용 중요

보안뉴스

“다크 웹에서 거래된 쿠키 540억 건 중, 한국이 동아시아 1위” - 데일리시큐

글로벌 인터넷 보안 업체 노드VPN의 최신 연구 결과, 다크 웹에서 거래된 쿠키 540억 중 약 1억 8600만 개의 쿠키는 한국 것으로 밝혀졌다.인터넷 쿠키, 웹 쿠키 또는 HTTP 쿠키라고도 불리는 쿠키는

www.dailysecu.com

달콤한 감시자: 인터넷 쿠키의 숨겨진 위험성

도난당한 인터넷 쿠키의 예상치 못한 위험에 대해 알아보세요. 계정, 자산, 개인 데이터가 위험에 처할 수 있습니다. 어떻게 보호해야 하는지 알고 계신가요?

nordvpn.com

구글 MultiLogin 취약점

2024. 1. 8. 21:55

1. 개요

- 23.10 위협 행위자 PRISMA는 영구 Google 쿠키를 생성할 수 있는 익스플로잇 공개 [1]
- 익스플로잇을 통해 위협 행위자는 사용자가 비밀번호를 재설정한 후에도 구글에 지속적으로 액세스 가능
- Lumma, Rhadamanthys, Stealc, Medusa, RisePro, Whitesnake 등 Infostealer Malware에서 악용중

2. 주요내용 [2]

[영상 1] 시연 영상

- 23.10 위협 행위자 'PRISMA'는 Google 계정과 관련된 제로데이 취약점을 악용한 공격 툴 공개

> 세션을 탈취해 비밀번호를 재설정한 후에도 새로운 쿠키를 생성해 구글 서비스에 지속적 액세스가 가능

> 해당 툴은 2가지 기능을 지님

① 비밀번호 변경 유무와 상관없이 세션 유지
② 새로운 유효한 쿠키 생성

- 공격 툴을 리버스 엔지니어링하여 취약점은 'MultiLogin'이라는 Google OAuth 엔드포인트에 의존

> 다양한 구글 서비스에서 계정을 동기화하도록 설계
> 구글의 공식 문건에서 이 기능이 정식으로 언급된 적 없음

- 로그인된 Chrome 프로필의 토큰 및 계정 ID 추출

> 추출을 위해 WebData의 token_service table 참조

> 해당 테이블에는 서비스(GAIA ID)와 encrypted_token이 저장되 있음

- 추출한 token:GAIA ID 쌍을 멀티로그인 엔드포인트와 결합해 구글 인증 쿠키를 다시 생성

- 새로운 인증 쿠키를 생성해 구글 계정에 장기간 무단으로 액세스 가능
> 사용자가 비밀번호를 변경하여도 구글 서비스에 지속적 액세스 가능

3. 대응방안

- 임시 수정 단계

① 모든 브라우저에서 로그아웃하여 세션 토큰 무효화

② 비밀번호 재설정

③ 재로그인하여 새 토큰 생성

※ 참고사이트 임시 수정 단계 참고 [2]

- g[.]co/mydevices을 통해 모든 활성 세션 종료

- 향상된 세이프 브라우징 사용 [3]

4. 참조

[1] https://www.youtube.com/watch?v=NzAtZzzFoOs
[2] https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking
[3] https://support.google.com/accounts/answer/11577602?hl=ko
[4] https://securityaffairs.com/156723/hacking/exploit-regenerates-google-cookies.html
[5] https://www.bleepingcomputer.com/news/security/google-malware-abusing-api-is-standard-token-theft-not-an-api-issue/#google_vignette
[6] https://www.dailysecu.com/news/articleView.html?idxno=152620
[7] https://www.dailysecu.com/news/articleView.html?idxno=152653
[8] https://www.boannews.com/media/view.asp?idx=125357&page=9&kind=1

'취약점 > 기타' 카테고리의 다른 글

Atlassian, Oracle, GNU S/W 취약점 보안 조치 권고 (0)	2024.02.02
SSH Terrapin Attack (CVE-2023-48795) (0)	2024.01.20
WiFi의 BFI를 악용한 민감 정보를 탈취하는 WiKI-Eve (0)	2023.09.21
국정원 사이버 안보 현안 관련 간담회 내용 정리 (0)	2023.07.20
크리덴셜 스터핑(Credential Stuffing) (0)	2023.07.15

PREV 이전 1 NEXT 다음

꼰머의 보안공부

쿠키