Cisco 2022 해킹 분석

2022년 5월 24일 Cisco는 보안 팀에서 침해가 발생했음을 알게 되었습니다. 공격자는 액세스 권한을 얻고 권한을 높이고 원격 액세스 및 해킹 소프트웨어를 설치하고 시스템에 대한 액세스를 유지하기 위한 조치를 취했습니다. 그들은 이 모든 것을 한 번에 한 단계씩 수행했습니다. 우리가 보게 되겠지만, 이것은 쉽게 예방할 수 있어야 합니다.

우리는 모두 소급적으로 볼 때 더 똑똑하지만 사실 Cisco에 일어난 일은 WordPress 환경을 관리하는 모든 사람에게 발생할 수 있습니다.

이 기사에서는 성공적인 침해를 향한 해커의 단계와 모든 WordPress 웹사이트 소유자 및 관리자가 WordPress 웹사이트에서 반복을 방지할 수 있는 방법을 살펴봅니다.

누가 Cisco를 침해했습니까?

Cisco 침해 배후의 인물에 대해 알려진 바는 많지 않습니다. 조사 결과 IAB(초기 액세스 브로커)가 공격을 수행한 것으로 나타났습니다. 이름에서 알 수 있듯이 IAB는 시스템에 침입하지만 공격을 수행하지는 않습니다. 위반이 성공하면 해당 액세스를 유지하기 위해 소프트웨어를 설치합니다. 그런 다음 액세스 권한은 실제 공격을 수행하기 위해 액세스 권한을 사용할 다른 사람에게 판매되거나 제공됩니다. 증거는 UNC2447, Lapsus$ 및 Yanluowang의 세 가지 악의적인 행위자와 관련이 있음을 나타냅니다.

Cisco를 침해한 방법

1단계: 브라우저 비밀번호

공격자는 먼저 직원의 개인 Google 계정에 액세스했습니다. 훔친 자격 증명을 사용하여 Chrome 브라우저에 로그인함으로써 공격자는 직원의 비밀번호가 브라우저에 저장되고 동기화되도록 구성되었기 때문에 직원의 비밀번호에 액세스할 수 있습니다.

분석

브라우저는 Netscape와 Internet Explorer의 옛날부터 먼 길을 왔습니다(두 브라우저 모두 그 이후로 컴퓨터 역사의 역사에 남게 되었습니다). 이전보다 훨씬 더 강력하고 훨씬 풍부한 기능 세트를 제공하며 더 안전합니다.

브라우저 암호는 이러한 개선 사항 중 하나로 사용자가 브라우저에 직접 사용자 이름과 암호를 저장할 수 있습니다. 이것은 매우 편리하지만 브라우저는 암호 관리자가 수행하는 보안 모범 사례 유형을 적용하지 않으므로 해킹에 취약합니다.

암호 관리자는 사용자가 적절하게 복잡해야 하는 마스터 암호를 사용하고 저장된 암호를 암호화하여 훔치기 어렵게 만들도록 요구합니다. 일부 암호 관리자는 지문이나 얼굴과 같은 생체 인식을 사용하도록 허용하여 보안과 편의성을 높입니다.

브라우저는 암호 보안 측면에서 따라잡기 시작했지만 아직 암호 관리자 수준에 도달하지 않았기 때문에 적합하지 않은 옵션이 되었습니다.

여기에 있는 또 다른 잠재적인 보안 위험은 간단한 암호를 사용하는 것입니다. NordPass가 2021년에 실시한 연구에 따르면 상당한 인식 캠페인에도 불구하고 엄청나게 안전하지 않은 비밀번호가 여전히 만연한 것으로 나타났습니다. 실제로 연구원들은 비밀번호 '123456'이 1억 300만 번 이상 사용된 것으로 나타났고, 똑같이 의심스러운 '123456789'가 4600만 회 이상 사용된 것으로 나타났습니다. 궁금한 점이 있으면 'password', 'qwerty', 'iloveyou'와 같은 고전이 모두 여전히 목록에 있습니다.

이 암호는 해독하는 데 1초도 채 걸리지 않아 믿을 수 없을 정도로 안전하지 않습니다. 문제를 더 복잡하게 만드는 것은 암호 해독 소프트웨어가 더 발전했고 a를 @로 바꾸거나 e를 3으로 바꾸는 것과 같은 특수 문자 교체를 설명할 수도 있다는 사실입니다.

방지

길고 복잡한 암호를 입력하는 것을 즐기는 사람은 거의 없으므로 사람들이 바로 가기를 선택합니다. 연구에서는 이 주장을 지지하므로 사용자가 더 나은 암호를 사용하도록 돕는 것이 중요합니다.

더 나은 암호 위생을 권장합니다.

강력한 암호는 위험을 완화하기 위해 취할 수 있는 가장 중요한 단계 중 하나입니다. 강력한 WordPress 비밀번호 정책을 사용하면 사용자가 '123456'과 같은 비밀번호를 사용하지 않도록 하는 데 도움이 됩니다.

워드프레스 암호 보안 플러그인인 WPassword를 사용하면 좋은 암호 관행이 T에 따르도록 할 수 있습니다. 자신의 정책을 설정할 수 있어 편안하고 만족스러운 정책 프로필을 얻을 수 있습니다.

사용자가 브라우저에 비밀번호를 저장하지 않도록 하는 것은 귀하(및 귀하의 사용자)가 위험을 완화하는 데 도움이 될 수 있는 또 다른 중요한 단계입니다. 결국 도난 위험이 있는 것은 WordPress 비밀번호뿐만이 아닙니다. 소셜 미디어, 뱅킹 및 기타 모든 비밀번호도 똑같이 위험합니다.

암호 관리자는 선택할 수 있는 많은 솔루션과 함께 주류가 되었습니다. 암호 관리자는 브라우저에 암호를 저장하는 것과 관련된 위험을 제거할 뿐만 아니라 더 강력한 암호를 찾는 데 도움이 될 수 있으며 일부는 암호 누출이 있는 경우 경고를 표시하기도 합니다.

2단계: 사회 공학

공격자가 직원의 계정에 액세스한 후 2FA가 제공하는 보안 메커니즘을 우회하기 위해 2FA 장치를 등록하기 시작했습니다. 2FA가 매우 강력하기 때문에 공격자는 2FA를 우회하기 위해 사회 공학 전술을 사용하는 이중 공격을 시작했습니다.

• Prong One: 2FA 피로 – 2FA 피로 공격에서 공격자는 여러 2FA 장치를 등록하려고 시도하여 피해자가 여러 2FA 요청을 효과적으로 처리하도록 합니다. 이러한 유형의 공격은 대부분 푸시 알림에서 널리 퍼져 있는데, 이는 무지, 피로 또는 기타 이유로 피해자가 수락하기만 하면 되기 때문입니다.
• Prong Two: Vishing – Vishing은 공격자가 권위 있는 위치에 있는 사람이라고 주장하여 피해자에게 전화를 거는 일종의 사회 공학적 공격입니다(보이스 피싱). 이 가장한 권위는 피해자를 호출자의 요구에 따를 수 밖에 없다고 느끼는 위치에 놓음으로써 남용됩니다. 이러한 요구에는 정보를 누설하거나 특정 링크를 클릭하는 것과 같은 특정 조치를 취하는 것이 포함될 수 있습니다.

분석

사회 공학은 공격자가 보안 조치를 우회하는 데 가장 많이 사용하는 도구 중 하나로 남아 있습니다. 어떤 경우에는 공격자가 보안 시스템을 다루는 것보다 사람들을 속이는 것이 더 쉽다는 것을 알게 될 수 있습니다. 이 경우 공격자는 2FA를 우회하기 위해 사회 공학에 의존해야 했습니다.

사회 공학은 다양한 형태로 이루어지며 공격이 성공하지 않도록 하기 위해 포괄적인 보안 정책이 필요합니다. 사회 공학이 사람들을 대상으로 하기 때문에 지속적인 인식 캠페인은 위험을 최소화하고 완화하는 데 큰 도움이 될 수 있습니다.

사회 공학은 위협, 긴급성, 친숙성, 사회적 증거, 권위 및 희소성을 포함한 여러 원칙에 의존합니다. 이러한 원칙은 사람들이 그렇지 않았다면 수락하지 않았을 요청에 따르도록 악의적으로 사용됩니다.

방지

이중 인증 추가

강력한 암호는 첫 번째 방어선일 뿐입니다. 2FA는 좋은 온라인의 또 다른 중요한 측면입니다.

대다수의 온라인 공격을 막을 수 있는 ecurity. 2FA, 잠재적 공격자 필요

등록된 사용자의 전화에 액세스하는 것도 매우 어려운 일입니다.

Cisco의 공격자는 2FA의 방어를 우회하는 데 성공하지 못했습니다. 대신 속임수 전술에 의존하여 t를 속였습니다.

그는 그들의 요청에 동의하는 희생자가 되었고 궁극적으로 2FA를 우회할 수 있었습니다.

그럼에도 불구하고 2FA는 온라인 계정 보안에 대한 강력한 솔루션으로 남아 있어 공격을 차단하거나,

최소한, 속도를 늦추십시오. 다행히 WordPress 웹사이트에 2FA를 추가하는 것은 쉽습니다.

사용자에게 투자하세요

사용자 교육은 사고가 발생할 때까지 너무 자주 무시되는 강력한 도구입니다. 옛 속담처럼 예방이 치료보다 낫다. 피해를 복구하는 것보다 적극적으로 대처하는 것이 훨씬 유리합니다.

무엇보다도 사용자에게 예상하지 못한 2FA 요청을 보고하도록 요청하고 실수로 그러한 요청을 수락하더라도 보고해야 한다는 정책을 마련하십시오. 사용자는 종종 이러한 실수로 인한 영향을 두려워하여 이러한 사건이 보고되지 않습니다. 이것은 누구에게나 일어날 수 있음을 이해하십시오. 관대함과 이해는 귀하와 귀하의 사용자 모두에게 도움이 됩니다.

시간을 내어 정책을 자주 검토하고 가능한 경우 직원을 위해 설계된 짧은 사이버 보안 과정에 사용자를 등록하십시오.

3단계: 권한 에스컬레이션

공격자가 초기 액세스 권한을 얻은 후에는 여러 시스템에 액세스할 수 있는 관리자 수준 권한으로 상승했습니다. 이것이 보안 대응 팀에 경고를 보내 궁극적으로 환경에서 그들을 조사하고 제거할 수 있었던 이유입니다.

분석

권한 상승에서 공격자는 처음에 손상된 계정보다 더 높은 권한 집합을 가진 계정에 액세스하려고 시도합니다. 낮은 권한의 계정은 일반적으로 높은 권한의 계정만큼 강력하게 보호되지 않기 때문에 침입하기 쉽습니다. 초기 액세스 권한이 확보되면 공격자는 더 민감한 데이터에 액세스하거나 더 많은 피해를 입히기 위해 권한을 확대할 수 있습니다.

방지

WordPress는 대체로 안전한 애플리케이션이지만 공격에 면역이 되지는 않습니다. 공격 노출 영역을 줄이는 것은 위험을 최소화하는 데 필수적입니다. 공격 표면적을 줄이는 이 프로세스를 강화라고 하며 다음을 포함한 여러 수준에서 수행할 수 있습니다.

워드프레스 강화
PHP 강화
웹 서버 강화
OS(운영 체제) 강화
MySQL 강화

강화할 수 있는 하위 시스템은 WordPress가 호스팅되는 방식에 따라 다릅니다. WordPress 호스팅 계획이 있는 경우 호스팅 제공업체에서 대부분의 작업을 수행합니다. 반면에 자체 서버를 관리하는 경우 각 하위 시스템을 직접 강화해야 합니다.

4단계: 도구 설치

공격자가 충분한 권한을 얻은 후(사고 대응 팀이 액세스를 종료하기 전), 공격자는 액세스를 유지할 수 있도록 다양한 지속성 도구를 설치했습니다. 이러한 도구는 공격자가 제3자에게 액세스 권한을 다시 방문하거나 판매할 계획인지 여부와 상관없이 향후 액세스를 제공했을 것입니다.

분석

백도어라고도 하는 지속성 도구 및 방법은 향후 공격에 대한 액세스를 허용하므로 이중으로 위험합니다. 탐지되지 않으면 공격자에게 환경에 대한 지속적인 액세스를 계속 제공합니다. 이러한 도구의 대부분은 탐지를 피하도록 설계되었으므로 이를 찾는 데 약간의 추가 작업이 필요할 수 있습니다.

Google과 같은 공급업체가 도메인 또는 IP를 차단 목록에 추가하여 검색 엔진 순위에 부정적인 영향을 미칠 수도 있습니다. 특히 침해를 인지하기 전에 상당한 피해가 발생한 경우 복구하기가 훨씬 더 어려울 수 있습니다.

WordPress 백도어는 또한 여러 PHP 기능을 사용하므로 더 쉽게 감지할 수 있습니다. 이것은 모든 백도어가 특정 PHP 기능을 사용한다는 것을 의미하지는 않지만 염두에 두어야 할 사항입니다.

방지

공격자가 남긴 모든 맬웨어 및 소프트웨어를 찾는 것은 매우 어려울 수 있습니다. 대부분의 WordPress 관리자는 초기 위반 이전의 이전 백업에 의존하는 경향이 있습니다. 여러 회사에서 전문 WordPress 청소 서비스도 제공합니다. 특정 플러그인은 WordPress 악성 코드를 찾는 데 도움이 될 수도 있습니다.

사용해야 하는 귀중한 도구 중 하나는 WordPress용 파일 무결성 모니터인 WordPress 파일 변경 모니터입니다. 이 무료 플러그인은 기본적으로 실행될 때마다 파일 시스템의 해시를 가져온 다음 이전 해시와 비교합니다. 파일이 조금이라도 변경되면 해시가 완전히 변경됩니다. 이렇게 하면 위반이 발생했는지 확인하기 위해 조사를 시작할 수 있습니다.

내부에서 일어나는 일을 추적하는 데 도움이 되는 또 다른 필수 도구는 WP 활동 로그입니다. 이 플러그인을 사용하면 WordPress 웹사이트의 사용자 및 시스템 활동에 대한 깊은 통찰력을 제공하는 WordPress 활동 로그를 유지하여 초기에 의심스러운 행동을 파악할 수 있습니다. 타사 플러그인 통합 및 이메일 또는 SMS 알림과 같은 기능을 통해 항상 정보를 받을 수 있습니다.

종합적인 보안 계획만이 유일한 보안 계획입니다.

Cisco에 대한 공격은 해커가 공격을 수행하는 데 있어 점점 더 혁신적이고 정교해지고 있음을 보여줍니다. 즉, 성공적인 침해 가능성을 높이기 위해 여러 벡터를 사용합니다. 방화벽 설치와 같은 조치가 여전히 중요하기는 하지만 기존의 통념이 설명하는 은총은 아닙니다. 대신 WordPress 웹사이트가 모든 면에서 보호되도록 보다 전체적인 접근 방식이 필요합니다.

Cisco 위반에서 알 수 있듯이 WordPress 보안 강화를 위해서는 여러 계층이 중요합니다. 그러나 인간적인 요소는 여전히 필수적입니다. 여러면에서 사용자는 WordPress 웹 사이트의 성공에 이해 관계자이며 최소 권한과 같은 정책을 구현하는 동시에 사용자 교육도 필수적입니다.