꼰머의 보안공부

1. 개요 [1]

- Microsoft에서 은행 및 금융권을 대상으로 다단계 AiTM 피싱 및 BEC 공격에 대해 경고

- 은행 및 금융권과 파트너 관계에 있는 서드파티를 침해한 후 서드파티를 통해 공격 진행

- 서드파티와 피해자 간 신뢰 관계를 이용한 공격

2. AiTM 공격 [2]

- 전통적인 피싱 공격은 공격자가 정상 사이트와 유사한 피싱 사이트를 구성하여 공격 대상에 메일 링크 등으로 전달

- 링크 등으로 피싱 사이트에 접속한 사용자가 입력한 계정 정보 등을 공격자가 탈취

> 발신 주소 확인, 링크 주소 확인, 첨부 파일 확인 주의 등의 보안 교육과 MFA를 적용하여 피싱 공격에 대응

> MFA를 사용하기 위해 피해자의 휴대폰 등에 물리적으로 접근이 가능해야 하며, 피싱 사이트에 MFA를 구현하는데 어려움이 있었기 때문에 어느정도 대응이 됨

- 공격자들은 이를 우회하고자 중간자 공격(MITM, Man-in-the-middle attack)을 피싱 공격에 접목하기 시작하였으며, 이를 AiTM(adversary-in-the-middle)이라 함

> 피싱 서버에 로그인 기능을 구현하지 않고, 중간자 역할(프록시 서버)을 수행

> 사용자는 실질적으로 정상 서버와 통신을하며, 로그인 및 MFA 진행

> 공격자는 중간에서 계정 정보, MFA 값, 쿠키 등을 탈취

> 관련 툴로는 Evilginx, Evilginx 2 등이 있음

※ Evilginx: 세션 쿠키, 계정 정보 등을 피싱하는 데 사용되는 중간자 공격 프레임워크

2.1 공격 체인

① 서드파티 피싱메일 유포

> 최종 공격 대상과 파트너 관계인 서드파티로 위장하여 링크가 포함된 피싱메일 유포

② 링크 접속

> 공겨자는 Canva 서비스를 활용

> Canva를 활용해 가짜 OneDrive 문서 미리보기와 피싱 URL 링크를 보여주는 페이지를 호스팅

※ Canva: 프레젠테이션, 포스터, 문서 및 기타 시각 콘텐츠를 만들기 위해 사용되는 오스트레일리아의 그래픽 디자인 플랫폼

③ AiTM 공격

> URL에 접속하면 MS 로그인 페이지를 스푸핑한 피싱 페이지로 리다이렉션

> 해당 페이지에서 입력한 계정 정보 및 MFA, 세션 쿠키를 공격자가 탈취

④ 서비스 접속

> 앞선 과정에서 탈취한 쿠키 정보를 통해 로그인 및 MFA 인증을 우회

⑤ 추가 MFA 인증 수단 등록

> 탈취한 계정으로 접근하기 위해 새로운 MFA 인증 수단을 등록

⑥ 메일 수신 규칙 생성

> 공격자는 로그인 후 사용자의 메일함에서 수신 메일을 보관 폴더로 이동하고, 모든 메일을 읽음으로 표시하는 규칙 생성

⑦ 피싱 공격

> 공격자는 Canva URL을 일부 수정하여 대규모 피싱 공격을 수행

> 피해 사용자의 연락처를 통해 피싱 메일을 발송

⑧ BEC 공격

> 부재중 사용자(피싱 메일을 읽지 않은 사용자)로 확인된 경우 해당 메일 삭제

> 피싱 메일의 진위 여부와 관련된 질문을 수신한 경우 정상 메일이라고 응답 및 해당 메일 삭제

※ BEC 공격은 정당한 송신자로 위장하여 수신자를 속이는 방법이며, EAC 공격은 공격자가 실제 계정을 탈취하여 추가 공격을 진행하는 방법인데, 해당 경우에는 EAC 공격이 좀 더 적합한 것으로 판단됨.

⑨ 계정 도용

> 악성 URL에 접속한 사용자의 계정을 탈취하여 또 다른 공격에 사용

⑩ BEC 공격

> 앞선 BEC 공격과 동일한 방법으로 반복

3. 대응 방안

- 계정 정보 변경

> 비밀번호 변경, MFA 인증 수단 확인 등

- 조건부 액세스 정책 적용 [3]

> 조건부 액세스란 접속지 IP, 접속지 위치, 디바이스, 접속 어플리케이션 등을 종합적으로 평가하여 인증 여부 및 인증 수준 결정

- 지속적인 세션 검증 [4]

> 일반적으로 액세스 토큰은 1시간 동안 유효

> 해당 토큰이 만료될 경우 해당 세션이 유효한 세션인지 검증

- 피싱 방지 솔루션 도입 [5]

> Microsoft Defender SmartScreen의 경우 사용자가 방문하는 웹 페이지의 동작 및 보고된 동작과 비교

> 비교 결과를 통해 정상 사이트인지 악성(또는 유해) 사이트인지 경고를 발생

4. 참고

[1] https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/ 
[2] https://thehackernews.com/2023/06/microsoft-uncovers-banking-aitm.html?m=1
[3] https://learn.microsoft.com/ko-kr/azure/active-directory/conditional-access/overview?ocid=magicti_ta_learndoc
[4] https://learn.microsoft.com/ko-kr/azure/active-directory/conditional-access/concept-continuous-access-evaluation?ocid=magicti_ta_learndoc
[5] https://learn.microsoft.com/ko-kr/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc
[6] https://attack.mitre.org/techniques/T1557/
[7] https://www.boannews.com/media/view.asp?idx=119015
[8] https://www.xn--hy1b43d247a.com/initial-access/aitm