[리눅스][초보][보안][무차별대입공격유형]

무차별대입공격(Brute Force Attack)유형

 

많은 악성코드의 유형과는 달리 무차별대입공격(Brute Force Attack)은 웹사이트의 취약점에 의존하지 않는 공격이다. 해당 공격은 취약하거나 빼낼 수 있는 자격 증명을 가진 사용자를 목표로 하므로 무차별대입공격(Brute Force Attack)은 단순하면서도 많은 표적을 대상으로 할 수 있는 것이다. 

 

[무차별대입공격의 대상은 누구?]

무차별대입공격(Brute Force Attack)유형

암호만이 무차별 공격의 대상이 아니며, 링크와 디렉토리, 사용자 이름 및 이메일은 또 다른 일반적인 대상이 될 수 있고, 무차별대입공격(Brute Force Attack)의 목적은 다른 사용자에게는 허용되어 있지 않은, 접근금지되어 있는 리소스에 액세스 하는 것이므로, 관리 계정, 암호로 보호된 페이지일 수 있거나 다른 사람의 웹메일내용을 보는 것이 될 수도 있다.

보안업체인 Wordfence 기록을 확인해보면 2020년 12월 18일 오전 3시(UTC 시각 기준)에 워드프레스 사이트를 대상으로 대규모 분산 무차별 대입 공격(브루트 포스 공격, Brute Force Attack)이 발생했었다고 한다. 
해당 공격에는 공격에 동원된 IP 수도 많고 각 IP가 막대한 수의 공격을 발생하는 등, 그 규모면에서 Wordfence가 워드프레스 보안 서비스를 시작한 2012년 이래 가장 규모가 큰 공격이었다고 한다. (공격이 피크일 때는 시간당 공격 수가 1,400만 건이 넘었다고 함)

링크된 글에 따르면 글 작성 당시 밝혀진 점은 아래와 같은데, Wordfence가 워드프레스 보안 사업을 시작한 이래 시간당 공격량으로는 최대 규모였다고 한다. 

- 당시까지 공격의 정점에 이를 때에 시간당 1410만 건에 이름  - 관련된 IP의 총 개수는 10000개가 넘음 - 시간당 공격 대상이 된 워드프레스 사이트가 최대 19만 개에 이름

이 외에도 1993년 국내해커1호 김재열씨의 '청와대 해킹사건', 2014년 iCloud에 대한 무차별대입공격(Brute Force Attack)을 기반으로 실행된 해킹공격, 2018년 우리나라 대형은행에 대한 무차별대입공격(Brute Force Attack)등이 있다. 

 

참조)  워드프레스 공격에 대한 자세한 내용은 Breaking: Aggressive WordPress Brute Force Attack Campaign Started Today, 3am UTC를 참고해보시기 바랍니다.

참조) 워드프레스가 무엇인가요? #1. 워드프레스? 이제 막 블로그를 시작하려고 한다면 가장 간편한 방법은 네이버 블로그나 티스토리 같은 블로그 서비스를, 웹사이트를 만들려고 한다면 홈페이지빌더 같은 웹사이트 빌더를 사용하는 게 가장 쉽고 편리하지만, 이런 서비스는 어디까지나 완제품 형태로 서비스되기 때문에, 아무리 많은 기능과 설정이 있다고 해도 주어진 형태 안에서만 구성이 가능하다는 한계가 있음. 워드프레스(WordPress)란 CMS는 이런 제한된 환경이 내키지 않는 동시에 그렇다고 직접 자신이 원하는 형태의 블로그나 웹사이트를 개발할 수 있는 코딩 지식은 없는 비개발자에게, 넘이 만들어 놓은 테마와 플러그인들을 설치하기만 하면 원하던 기능과 구성을 만들어 주는 훌륭한 대안임. #2.오픈소스 오픈소스 CMS이기 때문에 워드프레스 다운로드 및 설치에 비용이 전혀 발생하지 않는다. 게다가, 수정/재배포가 가능한 GNU GPLv2 라이센스라서 대부분의 호스팅 업체로부터 초기 워드프레스 세팅이 지원되므로, 굳이 직접 다운로드 받아 호스팅 서버에 워드프레스 수동 설치를 하는 번거로운 과정을 겪을 필요가 거의 없다. 물론, 오픈소스라고 해도 개인 사이트로써 식별되기 위한 도메인 주소가 필요하고, 데이터가 저장될 공간인 호스팅 서버도 필요하므로 최소한의 도메인/호스팅 비용은 발생할 것이다.

 

 

 

 

 

[무차별 대입 공격의 유형으로는 무엇이 있을까]

* 일반적인 무차별 대입 공격: 가능한 모든 조합을 시도한다.

• 역 무차별 대입 공격: 많은 계정을 대상으로 소수의 흔한 비밀번호를 반복 시도한다.
• 인증 정보 스터핑: 사이트 또는 서비스에서 훔친 사용자 이름과 비밀번호를 사용해 다른 서비스와 애플리케이션의 계정을 하이재킹 한다.
• 사전 공격: 사전의 단어 또는 다른 데이터 침해에서 얻은 일반적인 비밀번호를 돌아가면서 시도한다.
• 레인보우 테이블 공격: 공격자는 평문 비밀번호와 각 비밀번호의 해시값이 저장된 사전 계산된 사전을 사용해 해싱 함수를 반대로 되돌려 비밀번호를 알아낸다.

 

* 브루터 포스 공격을 위해, 임의의 문자열을 생성/조합하고 대입하는 방법으로는 다음과 같이 두 가지로 형태로 나눌 수 있다.

1. 브루터 포스 공격을 위한 문자열 생성 및 무작위 순차 대입 방법

• 브루터포스의 무차별 대입이라는 특징을 그대로 구현하는 것으로, 조합 가능한 모든 문자열을 순차적으로 하나씩 모두 대입해 보는 것이다. 그야말로 무식하게 암호가 일치할 때까지 모든 경우의 수를 조합해 대입을 시도한다.
• 이론상으론 공격에 충분한 시간만 주어진다면 (모든 문자에 대한 조합을 시도해 볼 수 있기 때문에) 언젠가는 비밀번호를 맞히게 될 것이다.
• 다만 현실적으로는 암호의 길이와 복잡도의 증가에 따라 공격에 걸리는 시간이 기하급수적으로 늘어나므로 무조건 성공한다고 보기 어렵다.
• 무작위 순차 대입의 공격의 소요 시간을 줄이기 위해 미리 정의된 문자열 목록을 이용하기도 하는데, 이어서 알아보자.

 

2.사전(Dictionary) 대입

• 상당한 시간이 소요되는 무작위 순차 대입 방식 단점을 극복/보완하는 방법으로, 미리 정의된 문자열 목록을 대입하는 방법이다.
• 사전 파일을 이용한 공격이라고 해서 '사전 공격(Dictionary Attack)' 이라 한다..
• 미리 정의된 비밀번호 사전(Dictionary)을 준비하여 하나씩 대입해 보는 방식이다. 여기서 사전(Dictionary)파일은 그동안 통계적으로 많이 사용되어 오거나, 사람들이 흔히 사용할법한 비밀번호 조합을 미리 목록 형태로 정의해 둔 파일이다.
• 사람들은 의외로 단순한 비밀번호를 많이 사용하며 또한 여러 서로 다른 사이트에 걸쳐 동일한 비밀번호를 사용하기도 한다.
• 이런 환경에서, 사전 대입 방식은 브루터 포스 공격에 소요되는 시간을 극적으로 줄이면서도 공격 성공률을 높이는 아주 효율/효과적인 공격 기법이다.

참조)  비밀번호에 대한 '사전(Dictionary) 파일'은 인터넷에서 아주 쉽게 구할 수 있다. 예를 들어, 구글 검색엔진에 'password dictionary file'이라고 검색하면 수 많은 비밀번호 목록을 얻을 수 있다.

* Brute Force 공격을 시도해 볼 수 있도록 개발된 'Burp Suite'라는 프로그램에서 로그인 폼을 제공하고 있다. 

툴을 이용해 브루터포스 공격을 실습

 

[재택근무로 인한 무차별 대입 공격이 증가되고 있다]

버라이즌의 2020년 데이터 침해 조사 보고서를 보면, 스몰비즈니스에서 일어나는 침해 중 무차별 대입 공격이 관련된 비율은 20% 미만이며, 대규모 조직의 경우 10% 미만이다. 이러한 추세는 2019년과 2018년의 같은 보고서와 비교해 거의 차이가 없었지만, 코로나19 대유행으로 2022년 현재까지는 상당한 변화의 폭을 겪고 있다.

 

참조) 버라이즌 설명 미국을 대표하는 통신회사로써 라이벌은 AT&T(티커:T)이다. AT&T가 반독점법 위반으로 회사가 분리되면서 만들어진 '벨 에틀렌틱'이란 회사를 모체로 여러 인수합병을 통해 만들어진 회사로서 무선서비스에 강점을 갖고 있다.

 

참조) SMB (Server Message Block) 설명  마이크로소프트 윈도우(Windows) 운영 체제 환경에 사용되는 파일 또는 프린터 공유 프로토콜. 윈도우의 통신망 설정으로서 TCP/IP 또는 넷바이오스 확장 사용자 인터페이스(NetBEUI : NetBIOS extended user interface)를 통신망 어댑터로 묶어서 사용할 수 있다. 네트웨어 클라이언트와 함께 널리 사용되지만, 원래는 마이크로소프트 네트워크나 랜(LAN) 관리자 등 NetBEUI 환경에서 사용되었다

보안 업체 카스퍼스키(Kaspersky)의 수석 보안 연구원은 “코로나19 대유행의 결과 전 세계 기업이 재택근무 정책을 도입했고, 이것이 사이버 위협 환경에 직접적인 영향을 미쳤다. 재택근무로의 대대적인 전환에 따라 사이버 범죄자는 취약하게 구성된 원격 데스크톱 프로토콜(RDP) 서버의 수가 증가할 것으로 판단하고 공격을 늘렸다. 3월 초부터 전 세계에 걸쳐 Bruteforce.Generic.RDP 공격의 수가 급증했다." 라고 말하며 보안에 대한 주의가 더욱더 필요하다고 강조했다. 

 

 

 

 - 다음 : 무차별 대입 공격 방어와 대응책 - 

 

[리눅스][초보][보안][무차별대입공격 방어와 대응책]