Session Hijacking 2.0 — The Latest Way That Attackers are Bypassing MFA
Session Hijacking 2.0 — The Latest Way That Attackers are Bypassing MFA
Why attackers are turning to session hijacking to get around widespread MFA adoption, how in-app security controls are being bypassed, and what you ca
thehackernews.com
- 세션 하이재킹 증가
- Microsoft에 따르면, 2023년에만 147,000건의 토큰 재생 공격이 탐지되었으며, 이는 전년 대비 111% 증가
- Google은 세션 쿠키 공격이 비밀번호 기반 공격과 동일한 수준에서 발생한다고 보고
- 세션 하이재킹의 변화
- 과거 맨인더미들(MitM) 공격을 통한 네트워크 기반 세션 하이재킹과 달리, 현대의 세션 하이재킹은 클라우드 기반 앱과 서비스를 대상으로 한 아이덴티티 기반 공격으로 진화
- 공격자는 세션 쿠키, 토큰, ID를 탈취하여 피해자의 세션을 재개할 수 있으며, 이는 암호화된 트래픽이나 VPN, MFA 같은 기존 방어 체계를 효과적으로 우회
- 세션 하이재킹의 목적
- 세션 탈취는 MFA 같은 인증 절차를 우회할 수 있음
- 세션 토큰은 보통 30일 동안 유효하며, 활동이 지속되면 무기한 연장될 수 있음
- 특히 IdP(아이덴티티 제공자) 계정이나 SSO(Single Sign-On)를 통해 여러 앱에 접근할 수 있다면 더욱 큰 가치를 가짐
- 세션 하이재킹 방법 비교
- 세션 탈취를 위해 세션 쿠키를 먼저 훔쳐야 함
- 두 가지 주요 방법:
- AITM(브라우저 내에서 수행되는 피싱 공격) 및 BITM(브라우저의 원격 제어 유도 공격) 같은 최신 피싱 도구 사용
- 인포스틸러 도구 사용
- 현대 피싱 공격: AITM과 BITM
- AITM(브라우저 내에서 수행되는 피싱 공격)은 피해자가 MFA를 완료하는 과정을 그대로 거쳐 공격자가 세션 토큰을 탈취
- BITM(브라우저 원격 제어 공격)은 피해자가 공격자의 브라우저를 직접 로그인하게 유도하여 세션을 탈취
- 인포스틸러
- 인포스틸러는 주로 세션 쿠키를 포함한 브라우저 데이터를 탈취하며, 공격자가 다양한 앱의 세션을 손쉽게 복구할 수 있음
- 인포스틸러는 감염된 개인 장치에서 시작되지만, 브라우저 프로필 동기화를 통해 기업 자격 증명까지도 유출 가능
- 탐지 및 대응
- 세션 쿠키 탈취 후 마지막 방어선은 앱 수준의 접근 제한 정책임
- IP 잠금 같은 정책이 있더라도 완벽한 방어는 어려움
- 최신 탐지 도구는 세션 쿠키가 다른 브라우저에서 재사용되는 행동을 감지하여 세션 하이재킹을 차단
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 영상 형태의 개인정보 제공에 대한 법적 해석과 판례 (2) | 2024.10.09 |
|---|---|
| 한국인의 AI 관련 업무 위협 우려 (6) | 2024.10.08 |
| Sniper Dz 피싱 도구로 140,000건 이상의 사용자 자격 증명 도난 공격 발생 (4) | 2024.10.07 |
| 시중은행, 생성형 AI와 혁신금융 도전 (1) | 2024.10.07 |
| 2024 생체인증 시장 분석 및 전망 (3) | 2024.10.07 |