New BitM Attack Enables Hackers to Hijack User Sessions in Seconds
New BitM Attack Enables Hackers to Hijack User Sessions in Seconds
A recent threat intelligence report highlights the emergence of a sophisticated cyberattack technique known as Browser-in-the-Middle (BitM).
gbhackers.com
- BitM 공격 개요
- Browser-in-the-Middle(BitM) 공격은 사용자의 브라우저 세션을 중간자 공격(MitM) 방식으로 탈취하는 최신 기법
- 사용자는 HTTPS 등 보안 연결이 유지되고 있다고 인식하나, 실제 요청은 공격자의 브라우저 세션을 통해 중계됨
- 공격자는 웹 애플리케이션의 세션 토큰(Session Token)을 탈취하여 사용자 인증 상태를 실시간으로 가로챌 수 있음
- 세션 탈취 방식
- MFA(다단계 인증)을 통과한 후 사용자 브라우저에 저장된 세션 토큰을 공격자가 탈취
- Evilginx2와 같은 투명 프록시 기반 도구는 커스터마이징이 복잡하지만, BitM은 최소한의 설정만으로 고속 공격 가능
- 공격자는 사용자 인증 절차를 통과한 세션을 복제하여 즉시 접근 권한을 획득하고, 민감 데이터 또는 관리자 권한을 탈취
- 공격 도구 및 위협 확장성
- Mandiant의 내부 도구 Delusion은 BitM 공격을 다양한 애플리케이션에 적용 가능하도록 설계됨
- 해당 도구는 인증 방식의 사전 이해 없이도 BitM 공격을 수행할 수 있으며, 악용 가능성 우려로 비공개 처리됨
- EvilnoVNC, Cuddlephish 등 오픈소스 도구는 방어 테스트 목적에 사용 가능
- 보안 권고
- 하드웨어 기반 MFA(FIDO2 보안키 등) 및 클라이언트 인증서 기반 접근제어 적용
- FIDO2 키는 인증 요청의 출처(origin)에 묶여 있어 세션 재사용 공격(Replay)을 방지
- 세션 토큰 보안 강화를 위해 브라우저 쿠키에 Secure, HttpOnly, SameSite 속성 적용
- 브라우저 기반 접근 통제 강화 및 비정상 사용자 에이전트, IP, 로그인 흐름에 대한 이상 탐지 연계 필요
- 결론
- 세션 탈취에 민감한 금융, 공공, SaaS 서비스에서는 MFA 이후 세션 지속 시간 및 사용 행위 감시 필수
- Endpoint 보안 및 브라우저 내 Proxy, Extension 이상 행위 탐지 기능 강화 필요
- 악성 BitM 프레임워크의 출현에 대비하여 SOC 및 레드팀에서 주기적 침투 시나리오 반영 권고
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| AI 코드 에디터를 악용한 'Rules File Backdoor' 공격 기법 분석 (0) | 2025.05.01 |
|---|---|
| TruffleHog Burp Suite 확장, 실시간 비밀정보 탐지를 위한 통합 도구 출시 (0) | 2025.05.01 |
| Bybit 해킹 사건, 다단계 공격과 라자루스의 정밀 작전 분석 (0) | 2025.05.01 |
| MirrorFace APT 그룹, ANEL과 AsyncRAT 사용한 유럽 외교기관 사이버 스파이 작전 수행 (0) | 2025.05.01 |
| 구글, 오픈소스 취약점 스캐너 OSV-Scanner V2.0.0 대규모 업데이트 발표 (0) | 2025.05.01 |