블로그

마지카트 메스

F5 썸네일
F5
2019년 7월 1일 게시

바베큐, 야구 경기, 뒷마당에서 즐기는 즐거운 시간으로 여름을 맞이하면서, 지난 한 해 동안 소매, 기술, 제조 업계의 보안 침해의 가장 큰 원인이 무엇이었는지 궁금해진다면 놀라지 마세요. F5 Labs에 따르면, 이는 Magecart 입니다.

메이지카트란? 메이지카트는 실제로 사이버범죄 조직을 지칭하는 용어입니다. 최소한 12개 이상의 그룹이 책임을 맡고 있으며, 각 그룹은 고유한 전문성을 가지고 있습니다. 예를 들어, 그룹 5는 2018년 티켓마스터 공격에 연루되었습니다. 하지만 이런 유형의 공격은 2014년부터 그룹 1을 시작으로 발생하고 있습니다.

이 그룹은 취약한 서버를 악용하거나 쇼핑 카트 페이지를 손상시키는 것부터 시작했습니다. 그들은 신용카드 정보와 개인 정보를 훔치기 위해 그들만의 악성 소프트웨어로 콘텐츠, 코드, 스크립트를 변경했습니다.

그들은 이제 제3자 광고 서비스를 통해 전달되는 웹 코드 주입 공격을 통해 결제 정보를 훑어볼 수 있는 수준까지 발전했습니다. 공격자는 광고 서비스를 손상시키고 악성 코드를 삽입합니다. 손상된 JavaScript 라이브러리는 광고 서비스가 제공하는 전자상거래 웹사이트에 로드됩니다. 고객이 신용카드 정보를 입력하는 동안 스키머는 백그라운드에서 데이터를 훔치려고 작동합니다. 일단 그것이 잡히면 루틴이 알려지고, 그것은 서버에 저장되고 다시 전달되어 지하 판매자/구매자에게 전달됩니다. 그들은 상품을 구매하거나 빈칸을 다시 채우고, 무슨 일이 일어났는지 알 수 없습니다.

Ticketmaster(앞서 언급한 대로), New Egg, Sotheby's, British Airways가 모두 피해를 입었습니다. 사실, 티켓마스터의 경우 직접적으로 침해를 받은 것은 아니지만 제3자 공급업체가 침해를 받았습니다. Ticketmaster를 위해 만들어진 맞춤형 JavaScript 모듈이 디지털 스키머 코드로 대체되었습니다. 하지만 그들이 유일한 사람은 아니었습니다. 수백 개의 사이트가 이런 식으로 손상되었습니다.

타사 시스템을 침해하는 것은 타겟 기업에 접근할 수 있는 좋은 방법입니다. 대개 이런 회사는 규모가 작고 보안 수준이 낮습니다. 그들은 목표물에 직접 접근할 수 있습니다. 적절하게 분할되지 않았거나 인증을 통해 보안되지 않은 백엔드 네트워크 연결을 통해 공격이 들어오던 시절을 기억하시나요? 비슷한데, 이제는 디지털 광고입니다. 다른 사람이 당신 대신 배달하게 하세요.

디지털 카드 스키밍은 성공 확률이 높고 비교적 쉽기 때문에 범죄자들에게 매력적입니다. 다른 공격은 성공하려면 악성 소프트웨어나 직접적인 침해, 심지어 사회 공학과 같은 것이 필요합니다. 시간과 노력이 필요하고, 때로는 전문 지식이 필요합니다. 그리고, 메이지카트에 비해서 성공률이 낮습니다. 쉽게 얻을 수 있는 이익으로 높은 수익을 거두는 것은 어떨까요?

또 다른 성공적인 이유는 고객이 감지하기가 거의 불가능하기 때문입니다. 무료 배송을 위해 결제 정보를 흥분해서 입력하는 감정에 휩싸여 있는 동안 스키머는 눈에 띄지 않게 필드 위에 맴돌며 데이터를 훔칩니다. 전통적으로 스키머는 ATM, 주유소, 체크아웃 키오스크와 같은 것에 물리적으로 '추가'되는 장치였습니다. 실제 삽입물을 덮는 무언가일 수도 있고, 기계에 섞이도록 설계된 얇은 막일 수도 있습니다. 카드를 넣는 곳을 잘 살펴보거나 틈에 손가락을 대어 이상한 것이 있는지 확인하면 이러한 물리적 위협을 막을 수 있습니다. 디지털의 경우 사실상 눈에 띄지 않습니다. 주입 공격이 OWASP Top 10의 상위를 유지하는 것은 놀라운 일이 아닙니다.

공격자는 감지되지 않기 위해 끊임없이 코드를 반복합니다. 난독화, 암호화, 심지어 사이트에서 이미 실행 중인 다른 카드 스키밍 소프트웨어를 방해하고 비활성화하는 것까지 포함됩니다. 한 경우, 스크립트는 탐지 및 분석을 방해하기 위해 브라우저 디버거 콘솔 메시지를 지속적으로 정리하기도 했습니다. TrendMicro에 따르면 그룹 12의 스크립트는 '청구', '체크아웃', '구매'와 같은 키워드에 대한 URL을 확인하는 수준까지 나아갑니다. 그들은 심지어 프랑스어로 바구니를 뜻하는 'panier'와 독일어로 계산대를 뜻하는 'kasse'라는 단어를 포함하여 현지화도 포함했습니다. 대상 문자열을 감지하면 스크립트는 훑어보기를 시작하고 각 피해자는 식별을 위해 생성된 난수를 받습니다. 피해자가 브라우저를 닫거나 새로 고치면 또 다른 JavaScript 이벤트가 발생하여 캡처한 결제 데이터, 전자 태그(무작위 숫자) 및 전자상거래 도메인을 원격 서버로 전송합니다.

RiskIQ 에 따르면, Magecart는 Target이나 Home Depot의 POS 보안 침해보다 더 클 수 있는 대규모 활성 위협입니다. 연구자들은 이런 위험을 인식하고 있지만, 그렇다고 해서 모든 공격을 감지할 수 있다는 것은 아닙니다. 범죄자들은 똑똑해요.

많은 보안 위협과 마찬가지로, 계층적 접근 방식이나 심층 방어 방식이 중요합니다. 물론 모든 서버에 패치를 적용하고 중요한 시스템을 분할하는 것이 중요합니다. 모든 확장 프로그램과 타사 시스템도 최신 상태로 유지하는 것이 좋습니다. CDN(외부 소스)이나 다른 도메인을 통해 전송되는 콘텐츠와 파일이 변경되거나 변조되지 않았는지 확인하는 것도 중요합니다. 물론, Magecart에서 악용되고 있는 알려진 취약점에 초점을 맞춘 서명이나 규칙 세트를 갖춘 WAF가 도움이 될 수 있습니다.

이러한 공격은 늘 진화하고, 더욱 정교해지며 새로운 희생양을 찾고 있습니다. 그리고 공급망 공격을 통해 사기꾼들은 수천 개의 사이트에 접근할 수 있게 됩니다. 한꺼번에.

마지막으로, 모든 침해는 비정상적인 활동이 있는지 신용카드, 은행 및 재무제표를 정기적으로 확인하는 좋은 교훈이 됩니다. 보고, 신고하세요.

Magecart 및 기타 주입 취약성에 대해 더 자세히 알아보려면 F5 Labs에서 제공하는 애플리케이션 보호 보고서 2019, 에피소드 3을 참조하세요. 웹 주입 공격이 더욱 심각해지고 있습니다 .