새로운 공격 위협에 직면한 Google 계정 OAuth2 프로토콜

IP 또는 비밀번호 재설정에 관계없이 문서화되지 않은 OAuth2 기능을 사용하여 Google 서비스 쿠키를 다시 생성합니다.

Google 계정. 이 방법을 사용하면 IP 주소나 비밀번호를 변경한 후에도 쿠키를 다시 생성하여 유효한 세션을 유지할 수 있습니다. 새로운해커메서드를 통해 공격자는 OAuth 2.0 인증 프로토콜 기능을 악용하여 GoogleCloud를 손상시킬 수 있습니다. 클라우드세크 CloudSEK 보고서

CloudSEK 연구팀이 '멀티로그인'이라는 문서화되지 않은 Google Oauth 액세스 포인트를 이용한 공격을 발견했습니다. '멀티로그인'은 다양한 서비스에서 Google 계정을 동기화하여 브라우저의 계정 상태가 Google의 인증 쿠키와 일치하도록 설계된 내부 메커니즘입니다.

가 협력할 의사를 표명하여 쿠키를 다시 생성하는 액세스 포인트를 빠르게 찾을 수 있었습니다. 쿠키를 다시 생성하는

인포스틸러 멀웨어. Lumma의 주요 기능에는 세션 지속성 및 쿠키 생성이 포함됩니다. 이 애플리케이션은 로그인 Chrome 프로필의 웹데이터에 있는 토큰 서비스 테이블을 공격하여 필요한 비밀, 토큰 및 계정 ID를 추출하도록 설계되었습니다.

"계정 비밀번호가 변경되더라도 세션은 유효하게 유지되며, 이는 일반적인 보안 조치를 우회하는 데 있어 독특한 이점입니다." - 익스플로잇의 개발자인 PRISMA의 말을 인용한 보고서의 설명입니다.

연구원들은 다양한 사이버 범죄 집단 사이에서 취약점 익스플로잇이 빠르게 통합되는 우려스러운 추세에 주목했습니다. 구글의 문서화되지 않은 OAuth2 멀티로그인 액세스 포인트를 악용하는 것은 구글 계정 및 ID 관리(GAIA) 토큰을 교묘하게 조작하는 방법으로, 그 정교함을 보여주는 대표적인 예입니다. 이 멀웨어는 암호화 계층을 사용하여 익스플로잇 메커니즘을 숨깁니다.

이 익스플로잇 기법은 구글의 내부 인증 메커니즘에 대한 고도의 정교함과 이해도를 보여줍니다. 루마는 "토큰:가이아 ID" 쌍을 조작함으로써 구글 서비스용 쿠키를 지속적으로 재생성할 수 있으며, 특히 문제가 되는 것은 사용자의 비밀번호가 재설정되더라도 익스플로잇이 유효하게 유지되어 사용자 계정과 데이터를 지속적으로, 그리고 탐지되지 않게 악용할 수 있다는 점입니다. " CloudSEK 팀은 결론을 내렸습니다.

인용하다:

https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking

batsom의 원본 글, 재생산 시 출처 표시: https://cncso.com/kr/문서화되지-않은-oauth2-세션을-악용하는-구글-계정-악성

좋다 (0)
이전의 2023년 12월 30일 오후11:03
다음 2023년 12월 31일 오후6:00

관련 제안