S3 Ep100.5: Uber 위반 – 전문가가 말하는 [오디오 + 텍스트]

원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.

[뮤지컬 모뎀]

오리.  모두들 안녕.

Naked Security 팟캐스트의 이 특별한 미니 에피소드에 오신 것을 환영합니다.

제 이름은 Paul Ducklin이고 오늘 친구이자 동료인 Chester Wisniewski와 함께 합니다.

Chester, 나는 우리가 이번 주의 큰 이야기가 된 것에 대해 뭔가 말해야 한다고 생각했습니다... 그것은 아마도 이달의 큰 이야기가 될 것입니다!

그냥 읽어줄게 표제 나는 Naked Security에서 사용했습니다.

"UBER HAS BEEN HACKED, 해커 자랑 - 당신에게 일어나는 일을 막는 방법."

그래서!

그것에 대해 모두 알려주십시오 ....

---

쳇.  글쎄, 나는 자동차가 여전히 운전하고 있음을 확인할 수 있습니다.

저는 밴쿠버에서 여러분에게 오고 있습니다. 저는 시내에 있고, 창 밖을 내다보고 있습니다. 그리고 실제로 Uber가 창 밖에 앉아 있습니다…

---

오리.  하루 종일 거기에 있지 않았습니까?

---

쳇.  아니요. [웃음]

앱 내에서 버튼을 눌러 차를 부르면 안심하십시오. 현재 누군가가 실제로 와서 태워줄 것 같습니다.

그러나 Uber의 직원이라면 시스템에 미치는 영향을 고려할 때 앞으로 며칠 동안 많은 일을 할 것이라고 확신할 수 없습니다.

우리는 정확히 무슨 일이 일어났는지에 대해 자세히 알지 못합니다.

그러나 매우 높은 수준에서 Uber 네트워크 내부에 누군가가 발판을 마련할 수 있도록 하는 Uber 직원의 사회 공학이 있다는 데 동의하는 것으로 보입니다.

그리고 그들은 우리가 말하는 것처럼 측면으로 이동할 수 있었습니다. 즉, 안으로 들어가면 궁극적으로 Uber 왕국의 열쇠를 갖게 된 관리 자격 증명을 찾기 위해 피벗할 수 있었습니다.

---

오리.  그래서 이것은 전통적인 데이터 도용이나 국가 또는 랜섬웨어 공격처럼 보이지 않습니까?

---

쳇.  그렇지 않습니다.

그렇다고 해서 다른 누군가가 자신의 네트워크에 유사한 기술을 사용하지 않았을 수도 있다는 말은 아닙니다.

실제로 Rapid Response 팀이 사고에 대응할 때 유사한 액세스 방법을 악용했기 때문에 네트워크 내부에 두 명 이상의 위협 행위자가 있음을 종종 발견합니다.

---

오리.  예... 기본적으로 서로 모르는 두 랜섬웨어 사기꾼이 동시에 침입했다는 이야기도 있었습니다.

따라서 일부 파일은 ransomware-A-then-ransomware-B로, 일부는 ransomware-B-followed-by-ransomware-A로 암호화되었습니다.

불결한 엉망진창이었어...

---

쳇.  글쎄, 그건 오래된 소식이야, 덕. [웃음]

우리는 그 이후로 다른 하나를 게시했습니다. *XNUMX가지* 서로 다른 랜섬웨어 같은 네트워크에 있었습니다.

---

오리.  이런! [BIG LAUGH] 계속 웃고 있는데 그건 틀렸어. [웃음]

---

쳇.  여러 위협 행위자가 포함되는 것은 드문 일이 아닙니다. 왜냐하면 귀하가 말했듯이 한 사람이 귀하의 네트워크 방어 접근 방식에서 결함을 발견할 수 있다면 다른 사람들이 동일한 결함을 발견하지 않았을 수 있다는 것을 암시할 수 없기 때문입니다.

그러나 이 경우에는 "for lulz"인 것처럼 보인다는 점에서 당신이 옳다고 생각합니다.

내 말은, 그것을 한 사람은 Uber 주변에서 사용되는 이러한 모든 다양한 도구와 유틸리티 및 프로그램의 스크린샷 형태로 네트워크를 통해 튀면서 주로 트로피를 수집하고 공개적으로 게시했습니다. 신용.

---

오리.  이제 자랑할 권리를 *원하지 않은* 누군가에 의해 수행된 공격에서 그 공격자는 초기 액세스 브로커인 IAB일 수 있지 않습니까?

그런 경우에 그들은 그것에 대해 큰 소리를 내지 않았을 것입니다.

그들은 모든 암호를 수집하고 나서 "누가 그것을 사고 싶습니까?"라고 말했습니다.

---

쳇.  예, 그것은 매우 위험합니다!

현재 Uber, 특히 Uber의 PR 또는 내부 보안 팀에 있는 누군가가 나쁜 것처럼 보이지만 실제로는 가능한 최고의 결과입니다…

...이것은 당혹스러운 결과가 될 것입니다. 민감한 직원 정보를 잃어 버리면 벌금이 부과됩니다. 그런 종류의 것입니다.

그러나 문제의 진실은 이러한 유형의 공격이 희생되고 최종 결과는 크립토마이너 및 기타 종류의 데이터 도난과 결합된 랜섬웨어 또는 다중 랜섬웨어가 된다는 것입니다.

이는 단순히 당황하는 것보다 조직에 훨씬 더 많은 비용이 듭니다.

---

오리.  따라서 사기꾼이 침입하여 마음대로 돌아다니며 어디로 갈지 고를 수 있다는 이 아이디어는…

… 슬프게도 이상하지 않습니다.

---

쳇.  경고를 기다리는 것이 아니라 적극적으로 문제를 찾는 것의 중요성을 강조합니다.

분명히, 이 사람은 처음에 경고를 트리거하지 않고 Uber 보안을 위반할 수 있었고, 그래서 그들은 돌아다닐 시간을 허용했습니다.

그렇기 때문에 용어처럼 위협 사냥이 오늘날 매우 중요합니다.

XNUMX분 또는 XNUMX일에 가까울수록 사람들이 파일 공유를 뒤지고 갑자기 일련의 시스템 전체에 연속적으로 로그인하는 의심스러운 활동을 감지할 수 있기 때문에 이러한 유형의 활동 또는 많은 RDP 연결이 날아가고 있습니다. 일반적으로 해당 활동과 관련이 없는 계정에서 네트워크를 통해 ...

...이러한 유형의 의심스러운 것은 관리자가 해당 관리 자격 증명에 액세스할 수 있도록 허용한 다른 보안 실수를 해결해야 하는 시간을 제한함으로써 그 사람이 야기할 수 있는 피해의 양을 제한하는 데 도움이 될 수 있습니다.

이것은 많은 팀이 정말로 고심하고 있는 것입니다. 이러한 합법적인 도구가 남용되는 것을 어떻게 볼 수 있습니까?

이것이 여기에서 진정한 도전입니다.

이 예에서 Uber 직원이 속아서 누군가를 초대한 것처럼 들리기 때문입니다.

이제 합법적인 직원의 계정이 생겼습니다. 이 계정은 실수로 범죄자를 컴퓨터에 초대하여 직원이 일반적으로 관련되지 않은 일을 하고 있습니다.

따라서 이는 모니터링 및 위협 사냥의 일부가 되어야 합니다. 정상이 실제로 무엇인지 알아야 "비정상적 정상"을 감지할 수 있습니다.

그들은 악성 도구를 가져오지 않았기 때문에 이미 있는 도구를 사용하고 있습니다.

우리는 그들이 PowerShell 스크립트를 보았다는 것을 알고 있습니다.

특이한 점은 이 사람이 해당 PowerShell과 상호 작용하거나 이 사람이 해당 RDP와 상호 작용한다는 것입니다.

대시보드에 알림이 표시되기를 단순히 기다리는 것보다 조심하기가 훨씬 더 어려운 일입니다.

---

오리.  체스터, Uber의 위치에 서고 싶지 않은 회사에 대한 조언은 무엇입니까?

이 공격은 당연히 엄청난 홍보를 받았지만, 순환하는 스크린샷으로 인해 "와, 사기꾼이 절대적으로 도처에 도사리고 있습니다."

… 사실, 데이터 유출에 관한 한 이것은 독특한 이야기가 아닙니다.

---

쳇.  당신은 조언에 대해 물었습니다. 나는 조직에 무엇을 말할 것입니까?

그리고 약 XNUMX년 전 미국 주요 대학의 CISO였던 친한 친구를 떠올려야 합니다.

나는 그에게 그의 보안 전략이 무엇인지 물었고 그는 다음과 같이 말했다. “매우 간단합니다. 위반의 가정."

나는 내가 침해당했으며 내가 원하지 않는 사람들이 내 네트워크에 있다고 가정합니다.

그래서 나는 여기에 있으면 안 되는 누군가가 이미 여기 있다는 가정 하에 모든 것을 구축하고 "집 안에서 전화가 와도 내가 보호 장치를 갖추고 있습니까?"라고 물어야 합니다.

오늘 우리는 이에 대한 유행어를 가지고 있습니다. 제로 트러스트, 우리 대부분은 이미 말하기 지겹습니다. [웃음]

그러나 그것이 접근 방식입니다. 위반의 가정; 제로 트러스트.

조직의 직원으로 보이는 변장을 했다고 해서 단순히 돌아다니는 자유를 가져서는 안 됩니다.

---

오리.  그리고 그것이야말로 제로 트러스트의 핵심이겠죠?

"우우우우우우우우우우우우우우침은 아무 것도 하는 사람을 절대 신뢰해서는 안 된다"는 뜻이 아닙니다.

그것은 "아무것도 가정하지 않는다"와 "사람들이 당면한 작업에 필요한 것보다 더 많은 일을 하도록 권한을 부여하지 마십시오"에 대한 일종의 은유입니다.

---

쳇.  정확합니다.

당신의 공격자가 이 경우처럼 당신이 해킹당했다는 사실을 외면하는 것만큼 기쁨을 얻지 못한다는 가정하에…

… 직원들이 무언가 잘못되었다고 생각될 때 이상 징후를 보고할 수 있는 좋은 방법이 있는지 확인하고 보안 팀에 미리 알려줄 수 있도록 하고 싶을 것입니다.

데이터 침해 체류 시간에 대해 이야기하기 때문에 활성 적 플레이북, 범죄자는 가장 자주 네트워크에 최소 XNUMX일 동안 있습니다.

따라서 보통 일주일에서 XNUMX일 정도의 시간이 주어집니다. 일반적으로 독수리의 눈으로 무언가를 관찰하고 있다면 최악의 상황이 발생하기 전에 이를 차단할 수 있는 좋은 기회가 있습니다.

---

오리.  실제로 일반적인 피싱 공격의 작동 방식을 생각하면 사기꾼이 첫 번째 시도에서 성공하는 경우는 매우 드뭅니다.

그리고 첫 번째 시도에서 성공하지 못하면 가방을 싸서 방황하는 것이 아닙니다.

그들은 다음 사람, 다음 사람, 다음 사람을 시도합니다.

50명에게 공격을 시도했을 때만 성공할 거라면, 앞의 49명 중 누군가가 그것을 발견하고 말을 했다면 개입해서 문제를 해결할 수 있었을 것이다.

---

쳇.  절대적으로 – 중요합니다!

그리고 사람들을 속여 2FA 토큰을 주는 것에 대해 이야기하셨습니다.

여기서 중요한 점입니다. Uber에는 다단계 인증이 있었지만 그 사람은 이를 우회하도록 확신한 것 같습니다.

그리고 우리는 그 방법론이 무엇인지 모르지만 불행히도 대부분의 다중 요소 방법에는 우회할 수 있는 기능이 있습니다.

우리 모두는 시간 기반 토큰에 익숙합니다. 화면에 XNUMX자리 숫자가 표시되면 인증을 위해 이 XNUMX자리를 앱에 입력하라는 메시지가 표시됩니다.

물론 잘못된 사람이 인증할 수 있도록 XNUMX자리 숫자를 알려주는 것을 막을 수 있는 방법은 없습니다.

따라서 XNUMX인자 인증은 모든 질병을 치료하는 만능 의약품이 아닙니다.

보안을 강화하기 위한 또 다른 단계인 과속 방지턱에 불과합니다.

---

오리.  계속 시도할 시간과 인내심이 있는 결단력 있는 사기꾼은 결국 침입할 수 있습니다.

그리고 당신이 말했듯이, 당신의 목표는 그들이 처음에 얻은 사실에 대한 수익을 극대화해야 하는 시간을 최소화하는 것입니다…

---

쳇.  그리고 그 모니터링은 항상 일어나야 합니다.

Uber와 같은 회사는 상황을 모니터링하기 위해 자체 보안 운영 센터를 연중무휴로 운영할 만큼 충분히 큽니다. 하지만 여기서 무슨 일이 일어났는지, 이 사람이 얼마나 오래 있었는지, 왜 그들이 멈추지 않았는지 확실하지 않습니다.

그러나 대부분의 조직이 반드시 사내에서 그렇게 할 수 있는 위치에 있는 것은 아닙니다.

이 악의적인 행동을 *지속적으로* 모니터할 수 있는 외부 리소스를 사용하는 것은 매우 편리하여 악의적인 활동이 발생하는 시간을 더욱 단축합니다.

정기적인 IT 책임과 다른 작업을 해야 하는 사람들의 경우 이러한 합법적인 도구가 사용되는 것을 보고 악의적인 것으로 사용되는 특정 패턴을 발견하는 것이 상당히 어려울 수 있습니다.

---

오리.  당신이 말하는 유행어는 우리가 MDR로 알고 있는 것입니다. 관리되는 탐지 및 대응, 당신을 위해 또는 당신을 도울 전문가 무리를 얻을 수 있습니다.

그리고 아직도 많은 사람들이 "내가 그렇게 하는 것을 본다면 내 책임을 포기한 것 같지 않아? 내가 무엇을 하고 있는지 전혀 모른다는 것을 인정하는 것 아닙니까?”

그리고 그렇지 않죠?

사실, 당신은 그것이 실제로 더 통제된 방식으로 일을 하고 있다고 주장할 수 있습니다. 왜냐하면 당신은 생계를 위해 *그 일만 하는* 네트워크를 돌볼 사람을 선택하고 있기 때문입니다.

즉, 일반 IT 팀과 자체 보안 팀까지… 비상 상황이 발생하면 공격을 받고 있더라도 실제로 수행해야 하는 다른 모든 작업을 계속 수행할 수 있습니다.

---

쳇.  전혀.

마지막 생각은 이것뿐인 것 같아요...

Uber와 같은 브랜드가 해킹당하는 것을 자신을 방어하는 것이 불가능하다는 의미로 인식하지 마십시오.

큰 회사 이름은 이 특정 해킹에 관련된 사람과 같은 사람들을 위한 거의 큰 트로피 사냥입니다.

그리고 대기업에 보안이 없다고 해서 보안이 없는 것은 아닙니다!

Target, Sony와 같은 이전의 대규모 해킹과 XNUMX년 전 뉴스에 나온 이러한 핵 중 일부 이후에 제가 이야기한 많은 조직 사이에 패배주의적인 대화가 많았습니다.

그리고 사람들은 "아아... Target의 모든 자원으로 스스로를 방어할 수 없다면 나에게 무슨 희망이 있겠습니까?"라고 말했습니다.

그리고 나는 그것이 사실이라고 전혀 생각하지 않습니다.

이러한 경우 대부분은 매우 큰 조직이기 때문에 표적이 되었고 접근 방식에는 누군가가 통과할 수 있는 아주 작은 구멍이 있었습니다.

그렇다고 해서 자신을 방어할 기회가 없는 것은 아닙니다.

이것은 사회 공학이었고 PowerShell 파일에 암호를 저장하는 몇 가지 의심스러운 관행이 뒤따랐습니다.

이것은 매우 쉽게 관찰할 수 있고 직원들에게 동일한 실수를 하지 않도록 교육할 수 있는 사항입니다.

Uber가 할 수 없다고 해서 할 수 없는 것은 아닙니다!

---

오리.  참으로 – 나는 그것이 매우 적절하다고 생각합니다, Chester.

내 전통적인 진부한 말 중 하나로 끝내도 될까요?

(진부한 내용은 일반적으로 진실되고 유용하기 때문에 진부한 내용이 된다는 것입니다.)

다음과 같은 사건이 있은 후: "역사를 기억하지 못하는 자는 역사를 반복하는 형벌을 받습니다. 그런 사람이 되지 마십시오!"

Chester, 오늘 밤에 할 온라인 대화가 있다는 것을 알고 있기 때문에 바쁜 일정에서 시간을 내주셔서 정말 감사합니다.

정말 감사합니다.

그리고 "다음 시간까지 안전을 유지하십시오."

[뮤지컬 모뎀]