F5 BIG-IP APM 및 Distributed Cloud Bot Defense로 피싱 프록시로부터 MFA 보호

실시간 피싱 프록시 공격은 문자 메시지, 이메일 또는 웹 페이지를 통해 전달되는 피싱 메시지로 시작됩니다. 피싱 메시지에는 공격자가 제어하는 도메인으로 사용자를 이동시키는 링크가 포함되어 있으며, 이 도메인은 모든 요청을 대상 애플리케이션으로 프록시하도록 설계되었습니다. 사용자 관점에서 볼 때 모든 것이 합법적인 것처럼 보이지만 도메인 이름은 대개 실제 이름과 매우 비슷하도록 선택됩니다. 

피싱 프록시에 속아 사용자는 자격 증명을 입력합니다. 단일 요소 인증의 경우 자격 증명을 입력하는 것만으로도 공격자가 계정에 액세스할 수 있습니다. 2FA의 경우 실시간 피싱 프록시가 합법적인 애플리케이션에 자격 증명을 보내서 2FA 요청을 트리거합니다. 불행히도, 여전히 자신이 합법적인 애플리케이션을 사용하고 있다고 믿는 사용자는 2FA를 따르고 요청된 모든 사항에 동의할 가능성이 높습니다. 

역피싱 프록시는 거의 모든 형태의 2FA를 손상시킬 수 있습니다.

• 단문 메시지 서비스(SMS)를 기반으로 한 2FA. SMS 2FA에서 인증 시스템은 사용자에게 일회용 암호(OTP)가 포함된 문자 메시지를 트리거하고, 사용자는 이를 앱에 입력합니다. 피싱 프록시 공격 시, 사용자는 암호를 악성 앱에 직접 입력하고, 그러면 합법적인 앱으로 프록시하여 범죄자에게 액세스 권한을 부여합니다. OTP가 이메일을 통해 전송되는 경우에도 동일한 논리가 2FA에 적용됩니다. 해당 메커니즘이 사용자가 앱에 OTP를 입력하는 것을 포함하는 경우, 실시간 피싱 프록시 공격을 통해 해당 OTP에 접근할 수 있습니다.
• 하드웨어 토큰 2FA. 암호화 알고리즘에 따라 고정된 시간 간격으로 키를 생성하는 물리적 장치인 하드웨어 토큰은 SMS 기반 2FA의 OTP와 동일한 목적을 갖습니다. 사용자는 장치를 보면서 앱에 키를 입력합니다. 실시간 피싱 프록시에 속아 해당 키를 악성 애플리케이션에 입력하면 공격자는 계정에 액세스할 수 있습니다. 어떤 의미에서 SMS, 이메일 또는 하드웨어를 통해 토큰을 전달하더라도 실시간 피싱 프록시에는 아무런 차이가 없습니다. (반대로, FIDO2/U2F 하드웨어 키는 브라우저가 원본 바인딩에서 하드웨어 키와 협업하기 때문에 피싱이 불가능합니다.)
• 앱 기반 2FA. Google Authenticator 및 Duo Mobile과 같은 모바일 인증 앱은 하드웨어 장치와 매우 유사한 방식으로 토큰을 생성합니다. 다시 말해서, 사용자는 앱에 토큰을 입력해야 합니다. 사용자가 속아서 악성 앱에 토큰을 입력하면 공격자는 실제 애플리케이션에 액세스할 수 있습니다.
• 푸시 기반 2FA. 물론, 사용자가 OTP를 애플리케이션에 입력하는 모든 2FA 메커니즘은 사용자를 속여 악성 애플리케이션에 OTP를 입력하도록 함으로써 깨질 수 있습니다. 하지만 사용자가 애플리케이션에 OTP를 입력할 필요가 없는 푸시 기반 2FA는 어떨까요? 반면 푸시 기반 시스템에서는 로그인 요청을 받은 애플리케이션이 푸시 알림 시스템에 요청을 트리거하여 사용자가 모바일 기기에서 알림을 받도록 합니다. 사용자는 요청을 수락하기 위해 한 번만 클릭하면 됩니다. 이러한 일이 발생하면 푸시 알림 시스템은 푸시 인증이 성공적이었음을 나타내는 API 호출을 애플리케이션으로 다시 보내고, 애플리케이션은 인증 프로세스를 완료하여 사용자에게 액세스 권한을 부여합니다. 이 시나리오에서 피싱 프록시는 토큰을 수신하지 못합니다. 토큰은 애플리케이션에 직접 전달되기 때문입니다. 그럼에도 불구하고, 애플리케이션이 결국 프록시를 통해 인증된 세션 토큰을 애플리케이션에 전달하기 때문에 범죄자는 여전히 계정에 액세스할 수 있으며, 이를 통해 공격자는 토큰을 캡처하여 피해자의 신원을 사용하여 애플리케이션에 액세스할 수 있습니다.

EvilGinx, Muraena, Modlishka와 같은 피싱 프록시 서비스(PhaaS)가 범죄자들이 이런 공격을 시작하는 데 필요한 모든 것을 제공함으로써 놀라울 정도로 쉽게 만들어주기 때문에 실시간 피싱 프록시 공격이 증가할 것으로 예상됩니다.

• 사용자를 속여 악성 사이트를 방문하게 하는 피싱 이메일 템플릿
• 대상 앱을 모방하는 호스팅 웹 서버
• 도난당한 자격 증명을 저장하는 데이터베이스
• 실시간 모니터링
• 보안 연구원을 좌절시키는 방어 메커니즘
• 문서화 및 고객 서비스

피싱 프록시를 통과하는 트래픽에는 다음과 같은 독특한 특징이 있습니다. 도메인 이름이 실제 사이트의 이름과 일치하지 않을 수 있으며, 도메인 이름 변경에 따라 HTML 및 JavaScript가 변경될 수 있으며, 타이밍 및 TLS 서명이 변경될 수 있습니다. Distributed Cloud Bot Defense는 봇과 사람을 구별하는 데 사용되는 것과 동일한 클라이언트 측 및 네트워크 신호를 많이 사용하여 실시간 피싱 프록시를 구별하는 이상 징후를 감지하고 MFA에 대한 가장 일반적인 위협 중 하나를 해결할 수 있습니다.

BIG-IP APM은 앱과 API를 위한 유연하고 고성능의 액세스 관리 솔루션입니다. Active Directory, LDAP 공급자, RADIUS와 같은 엔터프라이즈 ID 서비스를 SSO, 액세스 페더레이션, OAuth 2.0, SAML, OIDC와 같은 최신 인증 프로토콜에 연결하여 애플리케이션에 인증 서비스를 제공합니다. 

BIG-IP APM에는 단계별 인증 지원이 포함되어 있어 바로 SMS 기반 OTP 2FA를 제공합니다. 또한 BIG-IP APM은 Cisco Duo, Okta, Azure AD 등 대부분의 주요 MFA 솔루션과 통합됩니다. 

BIG-IP APM은 많은 기업의 인증 프로세스에서 중심적인 역할을 하므로 자동화를 사용하여 MFA 보호를 우회하는 실시간 피싱 프록시 공격으로부터 사용자를 보호하기 위해 Distributed Cloud Bot Defense를 구현하기에 이상적인 위치입니다.