E2 이상 Microsoft 라이선스를 사용하면 "조건부 액세스"를 활성화할 수 있습니다.로그인 세션에 토큰 보호가 필요합니다."이러한 인증 토큰 재전송 공격을 방지합니다. Microsoft는 왜 모든 라이선스 수준에 이 보호 기능을 포함하지 않는 걸까요?!?!
E2 이상 라이선스 없이 O365에서 사후 인증 토큰 공격으로부터 보호하는 방법은 무엇입니까?
Reddit 사용자 LookingatCrows에 따르면, O365에서 조건부 액세스 정책을 설정하여 도난된 인증 토큰의 재사용을 방지할 수 있습니다. 다음 단계를 따르세요.
1. 규정 준수 장치 요구
규정을 준수하는 기기는 Intune에 설정된 특정 요구 사항을 충족해야 합니다. Intune에 있는 기기만 규정 준수 정책을 할당받을 수 있으며, 이는 조건부 액세스 설정과 관련이 있습니다.
2. 사용자에게 허용되지 않은 플랫폼을 차단합니다.
기기를 (a) 하이브리드 가입, (b) Entra 가입, 또는 (c) 통합을 통해 다른 MDM에서 가져오도록 설정하세요. 개인 기기 등록도 차단할 수 있습니다. 이를 통해 수십억 대의 기기에서 플랫폼에 로그인할 수 있으며, 회사 소유 기기만 로그인할 수 있습니다.
3. 가능한 경우 조직 위치로 제한하세요.
이는 사용자가 허용되지 않은 국가나 위치에서 원격으로 로그인하는 것을 방지하는 지리적 위치 보호 기능입니다.
2024년 2월 7일 업데이트 – 해커가 무해해 보이는 "구독 취소" 링크에 악성 프록시 링크를 삽입하고 있습니다.
최근 CyberHoot에서 직접 확인한 결과, 사용자의 이메일과 은행 계좌로 세션 쿠키를 훔치는 악성 구독 취소 링크가 발견되었습니다. 해커는 이메일 세션과 은행 세션 토큰을 훔쳤고, 이것이 공격의 실패로 이어졌습니다. 해커가 은행 계좌의 이메일 주소를 업데이트하고 로그인 비밀번호를 변경하자, 은행 사기 담당 부서에서 몇 분 만에 전화를 걸어 해당 활동에 대해 문의했습니다. 해당 부서에서 사고는 30분 이내에 해결되었습니다.
사건으로부터 얻은 교훈:
어떤 이메일이든 절대 방심하지 마세요. 일반적인 공지 이메일이든, 좋아하는 자선 단체 이메일이든, 운동 클럽 광고 이메일이든 상관없습니다. 꼭 긴급하거나 감정적인 내용일 필요는 없습니다. "구독 취소"를 클릭하기 전에 지금까지 배운 모든 피싱(Phishing) 훈련을 적용해 보세요. 후트피쉬 (또는 다른 사람들). 다음을 찾아서 시작하세요. 오타가 났다 도메인.
비밀번호 재설정을 포함한 모든 활동에 대해 모든 계정에서 다중 요소 인증을 활성화했는지 확인하세요.
세금을 일찍 신고하세요이 사건에서 해커는 사용자의 주민등록번호(SSN), 생년월일, 주소에 접근했습니다. 신원 도용이나 세금 신고에 필요한 모든 정보가 원하는 곳으로 환급되었습니다.
2023년 8월 10일 – Microsoft는 MFA가 활성화되어 있음에도 불구하고 많은 계정이 탈취당했다고 보고했습니다. 원인은 evilproxy입니다.
CyberHoot vCISO에서 지난 24시간 동안 M365 계정이 두(2) 건이나 침해되었습니다. MFA 지원 계정 침해 가능성을 조사한 결과, 다음과 같은 사실을 알게 되었습니다. 어제 다음에서 사고가 보고되었습니다. 멍청한 컴퓨터그리스 출신으로 추정되는 알려지지 않은 해커가 "EvilProxy" 해커 맬웨어를 사용하여 120,000만 개 이상의 Microsoft 365 이메일 계정을 공격했다는 내용을 보도했습니다.
Evil Proxy 작동 방식 개요:
이 방법이 효과적인 이유는 피해자가 365 계정에 로그인하는 동안 세션이 정상적으로 작동하는 것처럼 보이기 때문입니다. 해커가 훔친 세션 키를 통해 MFA를 우회하여 새로운 MFA 토큰을 설정하고, 전달 규칙을 변경하는 등 해킹된 사용자의 O365 이메일 계정에 대한 접근 권한이 이미 부여되었으므로 원하는 모든 작업을 수행할 수 있습니다. 경고: O365 계정 사용자가 아니라는 이유만으로 걱정하지 않는다면, 다시 생각해 보세요. EvilProxy에는 Apple, Google, Twitter, GitHub, GoDaddy, PyPI 이메일 계정을 공격하는 클라이언트 버전도 있습니다.
해커가 침투한 후에는 무슨 일이 일어날까?
Microsoft 365 계정이 손상되면 위협 행위자는 자체적인 다중 요소 인증 방식(알림 및 코드가 포함된 인증 앱)을 추가하여 지속성을 확립합니다.
또한, 이들은 자신의 존재와 그들이 수행하는 커뮤니케이션을 숨기기 위해 이메일 "규칙"을 추가할 수도 있습니다. 이들은 종종 해당 계정 소유자가 연락했던 모든 이메일 주소를 스크래핑하여 유사한 피싱 캠페인을 시작하여, 침해된 이메일 계정 소유자의 연락처가 제공하는 신뢰를 악용합니다.이 이메일은 회사 CFO에게서 왔습니다. 저는 그 분을 신뢰합니다. Adobe 문서나 PDF 첨부 파일을 클릭해서 인증을 받고 볼 수 있도록 하겠습니다."
이메일 시스템에서 EvilProxy로부터 보호 기능을 강화하는 방법:
Microsoft 라이선스를 통해 이메일에 대한 조건부 액세스를 구현하여 특정 기기 및 지리적 위치에 대한 로그인을 제한하세요. 라이선스에 해당 기능이 있는 경우 "불가능한 여행" 제한.
가능하다면 Microsoft InTune을 사용하여 신뢰할 수 없는 장치에 대한 액세스를 거부합니다(자체 모바일 장치 관리 솔루션에서 이러한 정책을 구성하세요).
Windows "Hello" for Business와 같은 비밀번호 없는 인증 방법을 활성화하고 활용합니다(단, 조직에 생체 인식 기능 장치(얼굴, 지문 또는 홍채 인식)가 있어야 합니다).
MFA 방식(FIDO2 보안 키)에는 하드웨어 토큰을 사용하는 것을 고려해 보세요. 이 경우에도 생체 인식이 가능한 최종 사용자 기기가 필요합니다.
고려해야 할 다른 조치:
직원들에게 피싱 공격을 발견하고 삭제하는 방법을 교육합니다.
CyberHoot의 HootPhish와 같은 혁신적인 피싱 시뮬레이션으로 직원들을 테스트해 보세요. 이는 긍정적이고 교육적이며 과제 기반의 피싱 시뮬레이션 및 테스트입니다. 이 시뮬레이션을 통해 직원들은 사이버 문해력이 훨씬 향상되어 피싱 공격을 독립적이고 자신감 있게, 그리고 효율적으로 탐지할 수 있습니다.
공격 후에는 어떻게 해야 하나요?
피해자의 비밀번호를 재설정하고 로그인한 모든 세션을 취소합니다. 반드시 참조하십시오 : Microsoft 365는 세션 토큰을 취소할 수 없습니다. 따라서 해커는 해당 계정에서 1시간에서 1일 동안 활동 상태를 유지할 수 있습니다..
계정의 MFA 구성에 대한 모든 예상치 못한 변경 사항을 취소합니다.
예상치 못한 받은 편지함 조작 "규칙"을 모두 검색하여 제거하세요.
외부 전달 규칙 비활성화(주의 사항: 이 작업은 모든 사용자 계정에 대해 도메인 수준에서 수행할 수 있으며, 향후 좋은 결정이 될 수 있습니다. 모든 전달을 비활성화하기 전에 반드시 적절한 승인을 받으십시오.)
