해커들의 훔쳐낸 크리덴셜 5단계 활용

보안뉴스 문가용 기자

 

www.f5.com/labs/articles/threat-intelligence/2021-credential-stuffing-report

<보안업체 F5 Networks>

침해가 발생했다고 알려지기 한참 전부터 사건은 이미 시작되었다.

수사와 유관(있을 유,관계할 관) 기관의 조사가 들어갈 때는 이미 크리덴셜의 가치가 줄어든 때

 

최근 알려진 크리덴셜 관련 사고를 분석, 탈취된 크리덴셜은 5단계 악용의 과정을 거침

크리덴셜 유출 사실 피해조직 인식하는데는 평균 4개월 (그나마도 외부 전문가나 매체에서 알려줬을 때)

 

악용 1단계 (최초 수 일~수 주)

크리덴셜을 탈취한 공격자들은 최초 기간동안은 은밀하게, 자신만의 목적을 위해 활용하려고 한다

대부분 특정 네트워크에 침투해 공격 지속성을 확보하거나, 주요 계정을 탈취하는 것

→자신이 훔친 것을 가지고 1차적인 현금화를 시도, 이게 성공하면 장기적으로 피해를 입히는 게 가능하게 됨

 

악용 2단계(약 1달 지속)

다른 사이버 범죄자들과 공유 - 다크웹

크리덴셜 스터핑의 재료가 됨. 실제 크리덴셜 스터핑 공격이 증가하기 시작함

동시에 크리덴셜 도난을 피해자들이 알아챔, 비밀번호를 변경하는 등의 조치 취함

 

악용 3단계

하급 공격자들이 사용하기 시작. 그들이 아는 모든 큰 사이트에 대입해봄

공격 횟수 가장 크게 급증함

 

악용 4단계

크리덴셜을 손에 넣을 수 있는 모든 공격자들이 빠르게 사용하고 있기 때문에

사용자들 대부분이 비밀번호를 변경함.

변경하지 않은 사용자들은 이미 그들의 계정에서 모든 가치있는 것들이 없어졌을 것

 

하급 공격자들이 신선하지 않은 크리덴셜로 높은 가치를 가진 회사에 공격을 계속하기 때문에 1단계보단 높음

고급 공격자들은 신선한 크리덴셜을 찾기 시작함

1단계 하나의 크리덴셜 당 하루 평균 15~20회 사용됨

3단계 하나의 크리덴셜 당 하루 평균 130회 사용됨

4단계 하나의 크리덴셜 당 하루 평균 28회로 줄어듦

 

악용 5단계

높은 가치는 없지만 보편적으로 비밀번호를 재사용하기 때문에 다른 사이트에서 쓸 수 있다. (가치가 없지는 않다)

크리덴셜 가치가 많이 하락한 상태이지만 여전히 못 쓸 정도는 아님

그럼에도 공격자는 이를 적극 활용 - 주로 '리패키징' 작업

다크웹에 돌아다니는 여러 다른 크리덴셜과 합쳐 세트 상품으로 재구성

 

이런 식의 사업도 수익성이 나쁘지 않음

이 단계까지 거친 크리덴셜은 5단계에서 폐기처분 됨 (공식적으로 수거 및 삭제가 아니라, 가치상실로 시장에서 사라짐)

 

 

 

 

왜 해커들은 다크웹에 자료를 올릴까?

Why do attackers post the data on a hacking forum if it reduces the value of the credentials? Sometimes, an attacker only does so to preempt their competition, as a credential stuffer implied in an interview with The Register. The hacker had previously kept stolen databases private, giving them only to those who swore to keep the data secret. He claimed to have put 20 databases of credentials up for sale only after a criminal partnership had gone south. In other words, he only posted the stolen credentials before his former collaborator could

 

preempt 선취하다

stale 신선하지 않은