링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

해커가 Google Workspace 및 Cloud Platform을 랜섬웨어 공격에 악용할 수 있음

2023년 11월 16일뉴스 편집실클라우드 보안/랜섬웨어

위협 행위자가 랜섬웨어, 데이터 유출, 비밀번호 복구 공격을 수행하기 위해 잠재적으로 활용할 수 있는 일련의 새로운 공격 방법이 Google Workspace 및 Google Cloud Platform에 대해 입증되었습니다.

“공격자는 손상된 단일 시스템에서 시작하여 여러 가지 방법으로 진행할 수 있습니다. GCPW가 설치된 다른 복제된 시스템으로 이동하거나, 맞춤 권한을 사용하여 클라우드 플랫폼에 액세스하거나, 로컬에 저장된 비밀번호를 해독하여 Google 생태계를 넘어서 공격을 계속할 수 있습니다. “라고 Bitdefender의 기술 솔루션 이사인 Martin Zugec은 새로운 보고서에서 말했습니다.

이러한 공격의 전제 조건은 악의적인 행위자가 이미 다른 수단을 통해 로컬 시스템에 대한 액세스 권한을 얻었기 때문에 Google이 해당 버그를 수정할 수 없는 것으로 표시하도록 하는 것입니다. 해당 버그는 위협 모델을 벗어나고 동작이 Chrome의 관행과 일치하기 때문입니다. 로컬 데이터를 저장하는 중입니다.”

사이버 보안

그러나 루마니아 사이버 보안 회사는 위협 행위자가 이러한 격차를 악용하여 단일 엔드포인트 손상을 네트워크 전체 침해로 확장할 수 있다고 경고했습니다.

간단히 말해서 공격은 모바일 기기 관리(MDM)와 싱글 사인온(SSO) 기능을 모두 제공하는 Windows용 Google 자격 증명 공급자(GCPW)를 조직에서 사용하는 데 의존합니다.

이를 통해 관리자는 G Suite 환경 내에서 Windows 기기를 원격으로 관리하고 제어할 수 있을 뿐만 아니라 사용자는 Google 계정에 로그인하는 데 사용되는 것과 동일한 사용자 인증 정보를 사용하여 Windows 기기에 액세스할 수 있습니다.

랜섬웨어 공격을 위한 클라우드 플랫폼

GCPW는 로그인 단계에서 사용자 인증 정보를 확인하기 위해 Google API에 연결하고 이를 방지하기 위해 새로고침 토큰을 저장함으로써 GAIA(Google 계정 및 ID 관리)라는 로컬 권한 있는 서비스 계정을 사용하여 백그라운드에서 프로세스를 원활하게 진행하도록 설계되었습니다. 재인증이 필요합니다.

이 설정을 사용하면 손상된 시스템에 액세스할 수 있는 공격자가 Windows 레지스트리 또는 사용자의 Chrome 프로필 디렉터리에서 계정의 새로 고침 OAuth 토큰을 추출하고 다단계 인증(MFA) 보호를 우회할 수 있습니다.

새로고침 토큰은 이후에 “https://www.googleapis” 엔드포인트에 대한 HTTP POST 요청을 구성하는 데 사용됩니다.[.]com/oauth2/v4/token”을 사용하여 액세스 토큰을 얻으며, 이 토큰은 Google 계정과 관련된 민감한 데이터를 검색, 조작 또는 삭제하는 데 악용될 수 있습니다.

사이버 보안

두 번째 악용은 가상 머신(VM) 배포에 초점을 맞추고 사전 설치된 GCPW로 다른 머신을 복제하여 머신을 생성하면 GAIA 계정과 연결된 비밀번호가 클론도 되었습니다.

Zugec은 “로컬 계정의 비밀번호를 알고 있고 모든 시스템의 로컬 계정이 동일한 비밀번호를 공유한다면 모든 시스템의 비밀번호를 알게 됩니다”라고 설명했습니다.

“이 공유 비밀번호 문제는 Microsoft의 LAPS(로컬 관리자 비밀번호 솔루션)로 해결된 모든 컴퓨터에서 동일한 로컬 관리자 비밀번호를 사용하는 것과 유사합니다.”

세 번째 공격은 앞서 언급한 기술을 사용하여 획득한 액세스 토큰을 활용하여 문서화되지 않은 API 엔드포인트에 HTTP GET 요청을 보내고 비밀번호 필드를 해독하는 데 필요한 개인 RSA 키를 확보함으로써 일반 텍스트 자격 증명에 대한 액세스를 수반합니다.

Zugec은 “사용자 이름, 비밀번호 등 일반 텍스트 자격 증명에 접근하는 것은 더 심각한 위협입니다.”라고 말했습니다. “이를 통해 공격자는 합법적인 사용자를 직접 사칭하고 계정에 대한 무제한 액세스 권한을 얻어 잠재적으로 완전한 계정 탈취로 이어질 수 있기 때문입니다.”

이 기사가 흥미로웠나요? 우리를 따라 오세요 트위터 그리고 LinkedIn에서 우리가 게시하는 더 많은 독점 콘텐츠를 읽어보세요.

Leave A Reply

Your email address will not be published.