토큰 추적

마지막 업데이트: 2022년 1월 24일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

토큰 추적

정규 표현식에 사용되는 괄호는 표현식의 요소를 그룹화할 뿐만 아니라 해당 그룹에서 검색되는 모든 일치 항목을 토큰 으로 지정합니다. 토큰을 사용하여 동일한 텍스트의 다른 부분을 일치시킬 수 있습니다. 토큰을 사용하면서 얻게 되는 이점 중 하나는 일치하는 항목을 기억하여 검색 또는 대체 과정에서 일치하는 텍스트를 다시 불러와서 재사용할 수 있다는 점입니다.

표현식의 각 토큰은 1부터 시작하여 왼쪽에서 오른쪽으로 진행되는 숫자로 할당됩니다. 표현식의 뒷부분에서 토큰을 참조하려면 토큰 번호 앞에 백슬래시를 사용하여 이를 참조하십시오. 예를 들어, 표현식에서 세 번째 괄호 세트로 생성되는 토큰을 참조하려면 \3 을 사용하십시오.

단순한 예로, 문자형 배열에서 동일한 문자가 연이어 나오는 경우를 검색하려면 첫 번째 문자를 토큰으로 캡처한 후, 바로 다음에 오는 일치하는 문자를 검색하면 됩니다. 아래에 나와 있는 표현식에서 (\S) 구는 regexp 가 문자형 배열에서 공백이 아닌 문자와 일치하는 항목을 찾을 때마다 토큰을 생성합니다. 표현식의 두 번째 부분인 '\1' 은 첫 번째 항목 바로 다음에 동일한 문자가 두 번째로 나오는 경우를 찾습니다.

셀형 배열 tok 에는 각각 토큰을 포함하는 셀형 배열이 있습니다.

셀형 배열 ext 에는 각각 토큰에 대한 시작 인덱스와 종료 인덱스를 포함하는 숫자형 배열이 있습니다.

또 다른 예로, 일치하는 HTML 태그(예: 및 )와 태그 사이의 텍스트를 쌍으로 캡처하겠습니다. 이 예제에서 사용되는 표현식은 다음과 같습니다.

표현식의 두 번째 부분인 '.*?>.*?' 는 이 HTML 태그의 나머지 부분( > 까지의 문자)에서 다음 여는 꺽쇠괄호 앞까지의 모든 문자와 일치합니다.

마지막 부분인 '' 은 닫는 HTML 태그에 포함된 모든 문자와 일치합니다. 이 태그는 연속된 문자 로 구성되며, 여기서 tag 는 토큰으로 캡처된 모든 문자입니다.

여러 토큰

아래에는 토큰에 값이 할당되는 방법을 보여주는 예제가 나와 있습니다. 다음 텍스트를 검색한다고 가정하겠습니다.

다음 검색 패턴을 사용하여 위에 표시된 텍스트를 검색하도록 선택합니다.

이 패턴에는 토큰을 생성하는 세 개의 구문 표현식이 있습니다. 최종적으로 검색을 수행할 때 각 일치 항목에 대해 다음과 같은 토큰이 생성됩니다.

토큰 추적

[디지털투데이 황치규 기자]암호화폐와 연동된 웹브라우저 브라우저에 자체 암호화폐 지갑이 탑재됐다.

16일(현지시간) 코인데스크 보도에 따르면 브레이브는 업데이트를 통해 자체 암호화폐 지갑을 장착했다.

브레이브 지갑은 와이어를 통해 토큰 구매가 가능하고 다양한 토큰들과 대체불가토큰(NFT)들을 교환할 수도 있다. 사용자가 프라이빗 키를 직접 보관하는 셀프 커스터디(self-custody) 형태로 제공된다. 또 이더리움 버추얼 머신(EVM)과 호환되는 모든 토큰들을 지원한다.

브레이브는 오픈소스 웹브라우저인 크로미움 기반으로 개발된 브라우저로 프라이버시 보호 기능이 특징이다. 광고나 토큰 추적 추적 기능을 막을 수 있는 기능을 기본 제공한다.

이런 가운데 브레이브는 이더리움 기반 토큰인 베이직 어텐션 토큰(BAT)도 발행, 사용자가 브라우저 화면 별도 공간에 노출되는 광고를 보겠다고 선택하면 BAT를 보상으로 제공한다.

회사측에 따르면 브레이브 월간 사용자수는 4200만명 규모다.

암호화폐 지갑을 통해 브레이브는 새로운 매출 기반도 확보할 수 있게 됐다. 브레이브는 자체 지갑에서 이뤄지는 토큰 교환에 대해 0.875%를 수수료로 가져간다. 대표적인 이더리움 지갑 서비스인 메타마스크와 비슷한 수준이다.

브레이브는 자체 지갑 서비스를 오픈 MPL 라이언스 아래 오픈소스로 공개했다. 개발자들은 브레이브 지갑 소스코드를 기반으로 볼 수 있고 그걸 재활용하는 것도 가능하다.

브레이브의 이같은 행보는 솔라나 지갑인 팬덤월렛과는 다른 행보다. 팬텀월렛은 소스코드를 공개하지 토큰 추적 않았다. 브레이브는 내년초 솔라나에 대한 지원도 추가할 계획이다. 지금은 이더리움 레이어2 네트워크나 바이낸스 스마트체인, 아벨란체 등 이더리움 EVM과 호환되는 퍼블릭 블록체인들에 적용할 수 있다.

[Microsoft 365 보안 강화 방안] AD FS 토큰 서명 인증서 탈취를 시작으로 Azure AD까지 수직 이동으로 뚫고 들어가는 공격

2020년 12월 파이어아이는 UNC2452라고 명명 후 지속해 추적 중인 공격자의 침해 캠페인을 공개했습니다. 맨디언트는 추적과 분석을 통해 이 공격자가 온프레미스 환경에 접근 후 Microsoft 365에 대한 접근 권한까지 얻는 것을 확인했습니다. 네, 온프레미스 네트워크를 첫 공격 목표로 잡은 후 클라우드 서비스까지 침해한 것입니다.

내부 네트워크 침투 후 클라우드까지 이동한 케이스

UNC2452의 침해 활동은 가벼이 여길 것이 아닙니다. 클라우드 이용에 관심이 있는 조직이라면 새로운 내부 이동 패턴에 주목해야 합니다. 보통 초기 침투 후 내부 이동을 하는 경우 주로 사내 네트워크 환경에서 행위가 이루어집니다. 반면에 UNC2452의 침해는 내부 네트워크에 접근한 후 권한을 획득하고, 이를 이용해 클라우드 서비스까지 침해하는 이동 경로를 보여 줍니다. ​내부 이동에 있어 기업이 주의해야 할 패턴이라 판단하여 맨디언트는 적절한 방어 전략을 안내하기 위해 백서(Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452)를 발표했습니다. 더불어 맨디언트는 UNC2452 침해 관련해 감사를 수행하는 데 필요한 스크립트인 'Azure AD Investigator'를 깃허브 페이지에 올려놓았습니다. Microsoft 365를 이용 중이라면 감사 스크립트를 한번 돌려 보는 것을 권장합니다.

UNC2452가 사용한 전술, 기술, 절차(TTP)

맨디언트는 UNC2452가 다음과 같은 네 가지 기본 기술을 조합하여 침해 기업의 내부 네트워크에서 Microsoft 365 클라우드 서비스로 이동하는 것을 관찰하였습니다.

  1. AD FS(Active Directory Federation Services) 토큰 서명 인증서를 탈취해 임의 사용자에 대한 토큰을 위조합니다. 이를 Golden SAML 기법이라 하는데, 자세한 내용은 백서를 참조 바랍니다. 이런 식의 접근을 통해 공격자는 사용자의 암호나 다중 인증(MFA: Multi Factor Authentication) 메커니즘을 거치지 않고도 Microsoft 365와 같이 페더레이트된 리소스 제공자에 인증을 통과할 수 있습니다.
  2. Azure AD에서 신뢰할 수 있는 도메인을 수정하거나 추가하여 공격자가 제어하는 새로운 IdP(Identity Provider)를 추가합니다. 이런 식으로 공격자는 임의 사용자에 대한 토큰을 위조할 수 있으며, 이를 통해 Azure AD 백도어를 만듭니다. 이를 통해 온프레미스에서 클라우드로 수직 이동할 수 있는 길을 틉니다.
  3. Microsoft 365 계정과 동기화된 글로벌 관리자, 애플리케이션 관리자 같은 높은 권한이 있는 사용자의 자격 증명을 침해합니다.
  4. 기존 Microsoft 365에 새로운 애플리케이션 서비스 자격 증명을 추가합니다. 이를 통해 Azure AD 권한 상승을 합니다. 이 방법에 대한 기술적 상세 내용을 잘 정리한 블로그가 있으니, 관심 있는 분은 해당 글을 참조 바랍니다.

이상으로 UNC2452 캠페인 관련 주요 내용을 알아보았습니다. UNC2452의 TTP 그리고 침해를 완화하는 방안에 대한 상세 내용은 백서를 참조 바랍니다. 참고로 다음 표를 통해 FireEye Helix가 UNC2452 침해를 어떤 로직 하에 탐지했는지 그리고 이들 얼럿은 MITRE가 정의한 공격 기술 중 어떤 항목과 관련이 있는지를 알 수 있습니다.

[Microsoft 365 보안 강화 방안] AD FS 토큰 서명 인증서 탈취를 시작으로 Azure AD까지 수직 이동으로 뚫고 들어가는 공격

2020년 12월 파이어아이는 UNC2452라고 명명 후 지속해 추적 중인 공격자의 침해 캠페인을 공개했습니다. 맨디언트는 추적과 분석을 통해 이 공격자가 온프레미스 환경에 접근 후 Microsoft 365에 대한 접근 권한까지 얻는 것을 확인했습니다. 네, 온프레미스 네트워크를 첫 공격 목표로 잡은 후 클라우드 서비스까지 침해한 것입니다.

내부 네트워크 침투 후 클라우드까지 이동한 케이스

UNC2452의 침해 활동은 가벼이 여길 것이 아닙니다. 클라우드 이용에 관심이 있는 조직이라면 새로운 내부 이동 패턴에 주목해야 합니다. 보통 초기 침투 후 내부 이동을 하는 경우 주로 사내 네트워크 환경에서 행위가 이루어집니다. 반면에 UNC2452의 침해는 내부 네트워크에 접근한 후 권한을 획득하고, 이를 이용해 클라우드 서비스까지 침해하는 이동 경로를 보여 줍니다. ​내부 이동에 있어 기업이 주의해야 할 패턴이라 판단하여 맨디언트는 적절한 방어 전략을 안내하기 위해 백서(Remediation and Hardening Strategies for Microsoft 365 토큰 추적 to Defend Against UNC2452)를 발표했습니다. 더불어 맨디언트는 UNC2452 침해 관련해 감사를 수행하는 데 필요한 스크립트인 'Azure AD Investigator'를 깃허브 페이지에 올려놓았습니다. Microsoft 365를 이용 중이라면 감사 스크립트를 한번 돌려 보는 것을 권장합니다.

UNC2452가 사용한 전술, 토큰 추적 기술, 절차(TTP)

맨디언트는 UNC2452가 다음과 같은 네 가지 기본 기술을 조합하여 침해 기업의 내부 네트워크에서 Microsoft 365 클라우드 서비스로 이동하는 것을 관찰하였습니다.

  1. AD FS(Active Directory Federation Services) 토큰 서명 인증서를 탈취해 임의 사용자에 대한 토큰을 위조합니다. 이를 Golden SAML 기법이라 하는데, 자세한 내용은 백서를 참조 바랍니다. 이런 식의 접근을 통해 공격자는 사용자의 암호나 다중 인증(MFA: Multi Factor Authentication) 메커니즘을 거치지 않고도 Microsoft 365와 같이 페더레이트된 리소스 제공자에 인증을 통과할 수 있습니다.
  2. Azure AD에서 신뢰할 수 있는 도메인을 수정하거나 추가하여 공격자가 제어하는 새로운 IdP(Identity Provider)를 추가합니다. 이런 식으로 공격자는 임의 사용자에 대한 토큰을 위조할 수 있으며, 이를 통해 Azure AD 백도어를 만듭니다. 이를 통해 온프레미스에서 클라우드로 수직 이동할 토큰 추적 수 있는 길을 틉니다.
  3. Microsoft 365 계정과 동기화된 글로벌 관리자, 애플리케이션 관리자 같은 높은 권한이 있는 사용자의 자격 증명을 침해합니다.
  4. 기존 Microsoft 365에 새로운 애플리케이션 서비스 자격 증명을 추가합니다. 이를 통해 Azure AD 권한 상승을 합니다. 이 방법에 대한 기술적 상세 내용을 잘 정리한 블로그가 있으니, 관심 있는 분은 해당 글을 참조 바랍니다.

이상으로 UNC2452 캠페인 관련 주요 내용을 알아보았습니다. UNC2452의 토큰 추적 토큰 추적 TTP 그리고 침해를 완화하는 방안에 대한 상세 내용은 백서를 참조 바랍니다. 참고로 다음 표를 통해 FireEye Helix가 UNC2452 침해를 어떤 로직 하에 탐지했는지 그리고 이들 얼럿은 MITRE가 정의한 공격 기술 중 어떤 항목과 관련이 있는지를 알 수 있습니다.


0 개 댓글

답장을 남겨주세요