Hackers Exploit Advanced MFA Bypass Techniques to Compromise User Accounts
Hackers Exploit Advanced MFA Bypass Techniques to Compromise User Accounts
In recent years, phishing has remained the most prevalent form of cyberattack, with approximately 1.2% of global email traffic.
gbhackers.com
- 개요
- 전 세계 이메일 트래픽의 약 1.2%, 일일 34억 건 이상이 피싱 시도로 확인됨
- 성공률은 낮지만, 기업 내부 침투의 초기 벡터로 효과적
- 최근에는 MFA(다단계 인증)를 우회하는 고도화된 기술을 이용해 사용자 계정 탈취
- 주요 공격 기법
- Browser-in-the-Browser (BITB) 기법
- 보안 연구자 mr.d0x가 2022년에 공개
- HTML/CSS/JavaScript로 구성된 가짜 로그인 창을 띄워 브라우저 내 팝업처럼 위장
- Google, Microsoft 등 신뢰된 인증 창으로 위장 가능
- 실제 주소창이 없는 상태에서 정교한 로그인 위조
- Adversary-in-the-Middle (AITM) 기법
- Evilginx와 같은 리버스 프록시 툴을 활용
- 사용자와 실제 인증 사이트 간의 통신을 가로채 세션 토큰까지 탈취해 MFA 무력화
- phishlet이라는 구성 파일로 특정 서비스 타겟팅 가능
- Frameless BITB 하이브리드 기법
- BITB 기반 로그인 창에 진짜 인증 페이지를 프로시(proxy) 연결
- iframe 없이 CSS로 로그인 창 요소만 대체, 탐지 우회 효과 높음
- Heavy 방식 (noVNC / WebRTC 활용)
- 원격 브라우저를 Kiosk 모드로 띄워 사용자의 인증 과정을 스트리밍
- 세션 재사용을 통해 MFA 인증을 우회
- EvilnoVNC, CuddlePhish 등의 도구를 통해 사용자 입력을 완전히 제어 가능
- Browser-in-the-Browser (BITB) 기법
- 주요 공격 도구 및 기능
- Evilginx
- MFA 우회를 위한 대표 리버스 프록시 도구
- 서비스별 맞춤형 phishlet 제공
- EvilnoVNC / CuddlePhish
- 브라우저 기반 세션 스트리밍 및 조작
- 공격자는 인증 이후 세션을 복제해 재사용
- Evilginx
- 결론
- MFA는 더 이상 완전한 보안 방어책이 아님
- 고도화된 피싱 기법은 사용자 경험을 위조하고 세션을 탈취하여 인증을 우회
- 조직은 브라우저 동작 이상 탐지, 세션 보안 강화, 강력한 인증 체계 전환(FIDO2 등)을 고려해야 함
- 클라우드 기반 자산, SaaS, VPN 등에서 세션 기반 인증에 대한 추가적인 보안 조치 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Medusa 랜섬웨어 위협 분석 보고서 (2025년 3월 기준) (0) | 2025.04.15 |
|---|---|
| MirrorFace APT 그룹의 Windows Sandbox 악용 공격 분석 (0) | 2025.04.15 |
| Fortinet, FortiOS 및 FortiSandbox 등 주요 제품군의 보안 취약점 다수 패치 (0) | 2025.04.15 |
| UNC3886, Juniper 라우터 대상 백도어 공격, TinyShell 기반 장기 침투 시도 (0) | 2025.04.15 |
| MS, 리모트 데스크톱 앱 지원 중단, ‘윈도우 앱’으로 (0) | 2025.04.15 |