Credential stuffing has become a preferred tactic among digital attackers over the past few years. As reported by Help Net Security, researchers detected 193 billion credential stuffing attacks globally in 2020. Financial services groups suffered 3.4 billion of those attacks. That’s an increase of more than 45% year over year in that sector. In H1 2021, fraudsters focused on digital accounts by breaking into existing user accounts or creating new accounts, per Business Wire. Nearly three in 10 of those attacks consisted of credential stuffing.

크리덴셜 스터핑 공격이 실행되는 방식은 어떠한가? How Does Credential Stuffing Work?

오픈웹앱보안 프로젝트에 따르면, 악의적인 공격자들이 유저들의 계정정보를 탈취하기 위해서 그들의 부수적인 정보를 탈취하거나, 피싱캠페인, 대량의 패스워드 시도 등을 하는 시점에, 크리덴셜 스터핑 공격이 시작이 되는 것이라고 가 이야기 합니다. 공격자들은 많은 웹페이지에 걸쳐있는 크리덴셜 정보를 테스트 하기위해서 자동화된 도구를 사용하는데 이는 온라인 마켓플레이스 및 소셜미디어 플랫폼에서 사용 되었을 만한 개인정보들 입니다. 이러한 많은 해킹툴킷들은 무료로 또는 적은 비용으로 이용이 될 수 있고, 공격자들이 특정 웹페이지의 파일을 공격대상으로 삼기 위해서 사용할 만한 설정도 함께 제공한다고 테크리퍼블릭에 이야기 하였습니다. 

"크리덴셜 스터핑과 같이 공격 자동화 기술은 해커들의 진입장벽을 낮출 수 있게 하며, 공격자들이 이미 다크웹에서 얻은 대량의 패스워드를 기반으로, 자동화 툴과 스크립트들이 실질적으로 침투할 수 있게 한다" 고 보안서비스 수실라 나르가 이야기 합니다. 

  According to the Open Web Application Security Project, a credential stuffing attack begins when a malicious actor uses a phishing campaign, password dump or another information leak to steal users’ account credentials. The attacker then uses automated tools to test the credentials across multiple websites. These might belong to social media platforms and online marketplaces. Many of those toolkits are either free or low cost, wrote TechRepublic, and they often come with configurations that attackers can use to target files on certain websites.
  “The capability to automate attacks like credential stuffing makes these kinds of attacks have a low bar to entry,” explained Sushila Nair, a VP of security services. “The tools are cheap, and you can allow tools and scripts to ripple through stolen troves of passwords from the dark web to see if you can break in.”

접근이 용이한 도구들 / Accessible Tools

더욱이, 악의적인 공격자들이 어떤 패스워드가 어느 웹페이지에 매칭되는지를 확인하기 위해서 공개되어 있는 공격도구를 다운로드를 할 수 있습니다. 정보보안 버즈가 이야기 한 바에 의하면, 이것은 공격자들의 그들의 공격 성공률을 높이는데 큰 도움이 될 것이라고 합니다. 이것은 봇넷이 인증시도를 내보내는 회사에 대한 제한을 걸기 떄문이며, 따라서 이는 보안팀에 경고를 울리지 않으면서도 공격을 수행할 수 있는 기회를 높여 줍니다. 

"만약 로그인 시도가 성공이 된다면, 공격자들은 다양한 그들의 악의적인 목적을 위해서 계정을 활용을 할 수 있습니다. 범죄자들은 예를 들면 그들의 훔친 계정에 들어있는 돈을 빼낼 수 있게 됩니다. 그리고 그들은  또다시 그 안에 들어있는 민감한 정보에 접근을 하여서 피싱메시지와 스팸전화를 시도하거나 다크웹 마켓에 그 정보를 올려 데이터를 현금화 하기도 할 것입니다. 

"결국에, 스프레이처럼 뿌리는 패스워드공격의 성공적인 결과와 그것이 고도의 기술을 필요로 하지 않는다는 사실이 공격자들의 위협적인 행동을 시작하기 좋은 요건이 됩니다. 이러한 공격의 전부는 단지 데이터 유출을 야기시키는 오래된 어플리케이션 1개 또는 손상된 크리덴셜 정보 1개에 의해서 가능합니다.  도난당한 자원을 발견하는 기관에서 추정한 바로는 일반적인 사람은 기억해야 하는 패스워드가 100개가 될 것이라고 추정을 하는데 , 그러면 이것은 그렇게 많은 우리들으 여러 웹페이지에서 동일한 패스워드를 사용하는 것은 너무나 당연한 일 이며, 이는  이러한 공격이 성공을 하도록 하게 만듭니다. 


  In addition, malicious actors will also download public tools to help identify which passwords belong to which sites. As noted by Information Security Buzz, this will help attackers to improve the success rate of their attacks. It will also limit the number of times a botnet can send out an authentication attempt. Therefore, it improves their chances of conducting an attack without raising red flags.
  If the login attempt succeeds, the attacker can then leverage the account for a variety of different malicious purposes. They can drain the stolen accounts of their stored funds, for instance. They can also access sensitive information contained therein, send out phishing messages and spam calls or monetize that data on dark web marketplaces.
  “Ultimately, the success of password spray attacks and the fact it doesn’t require the use of advanced technology makes it a great starting point for attackers,” noted Nair. “All it takes is one compromised credential or one legacy application to cause a data breach. The Identity Theft Resource Center estimates the average person has around 100 passwords to remember, so it’s no surprise that so many of us are reusing the same passwords across multiple sites, which contributes to the success of this kind of attack.”

새로운 소식 / In the News

2021년도 동안 헤드라인을 주로 이루었던, 크리덴셜 스터핑 공격에 대해서 알아 봅시다. 

2021년 2월 빗디펜더는 뮤직스트리밍 플랫폼이 크리덴셜 스터핑 공격의 피해를 받았다고 발표하였습니다. 공격자들은 계정을 침해하기 위해서 100,000 개의 유저크리덴셜의 상세정보를 포함하고 있는 로그인 데이터 베이스를 악의적으로 이용하였습니다. 

8월에는 FBI는 독특한 종류의 크리덴셜스터핑 공격을 사용했다고 경고를 하였습니다.  다른 회사로 부터 유출한 정보들을 기반으로 식료품점, 레스토랑, 딜리버리 서비스의 온라인 계정을 목표대상으로 삼았습니다. 공격자들이 원하는 것은 유저들이 다양한 웹페이지에 걸쳐서 그들의 패스워드를 계속 재사용하는 것 이었다고 리코드에서 보고하였습니다. 이러한 계정으로의 접속은 악의적인 공격자들이 또 다시 다른 웹페이지에 접속할 수 있게 하였습니다. , 그들은 유저들의 계정에 있는 포인트를 뻿어가고, 그들의 개인정보를 훔치거나 사기를 위한  금융정보를 사용하였습니다.

  Let’s examine some credential stuffing attacks that made headlines over the course of 2021.
  In February 2021, Bitdefender reported that a music streaming platform fell victim to a credential stuffing attack. Attackers used a malicious logger database containing the details of over 100,000 users’ credentials to try to compromise those accounts. Per the security firm’s reporting, someone probably leaked those details elsewhere initially before using them in this attack.
  In August, the FBI warned that malicious actors were using a distinct type of credential stuffing attacks. Powered by data leaked from other companies, attackers targeted online accounts at grocery stores, restaurants and food delivery services. The attackers’ hope was that users had reused their passwords across multiple web services, reported The Record. Access to those accounts gave malicious actors access to a lot more. They could drain users’ accounts of their funds, steal their personal information or abuse their financial data for fraud.

더 많은 유통기업들 가해지는 크리덴셜 스터핑  / More Retailer Credential Stuffing

10월에, 어느 무선통신사들는 공격자들이 그들의 몇몇 고객계정의 통제권을 가져갔다고 인정하였습니다.  공격자들은 고객들의 패스워드와 배송지와 같은 이미 저장된 정보를 새롭게 바꾸었고, 공격자들은 탈취한 계정 유저들에게 새 아이폰 가격의 금액을 지불할 것을 청구하였습니다. 위협포스트에 따르면 이 통신사는 데이터 침해의 피해를 받았다는 사실에 대해서 부정을 하였으며, 크리덴셜 스터핑 공격과  유사한 어떤 공격의 피해는 있었다고 밝혔다고 합니다. 위협공격자들은 보호되어 있는 계정에 로그인 하기 위해서, 외부로 부터 얻은 유저이름과 패스워드로 접속을 할 수 있었고 정보를 탈취할 수 있었다고 합니다. 

크리덴셜 스터핑 공격은 프록시 팬텀을 사칭하는 훔친카드로 결제하는것과 같은 방식의 가짜 정보를 사용하는 공격에서 시작이 되었다고 헬프넷시큐리티도 동시에  보도하였습니다. 이 공격은 순환 IP 주소와 150백만 이상의 훔친계정의 정보로 이루어져 있는 정보더미를 이용하여서, 상거래페이지에 있는 계정정보에 침투하려고 시도하였습니다. 이러한 봇 기반의 공격은 1초에 2,691번의 로그인 시도를 진행하였습니다. 

In October, an all-digital wireless carrier confirmed that someone had seized control of some of their customers’ accounts. The attacker then changed those users’ stored information including their passwords and shipping addresses. They also charged some of those accounts the price of a new iPhone. The wireless provider denied having suffered a data breach, per Threatpost. Instead, it said it suffered something along the lines of a credential stuffing attack. “Threat actors were able to access username/passwords from outside sources and exploit that information” to log into protected accounts.

Around that same time, Help Net Security reported on a credential stuffing campaign started by a fraud ring dubbed Proxy Phantom. It used a cluster of rotating IP addresses and over 1.5 million stolen account details to try to break into user accounts on merchant websites. Those bot-based attacks conducted as many as 2,691 login attempts a second.

크리덴셜 스터핑 공격을 방어하는 방법 / How to Defend Against a Credential Stuffing Attack

크리덴셜 스터핑 공격을 막기 위해서, 공격들이 과거 몇년간 어디에서 유래하였고 , 현재는 어느 위치에 있는지 이 2가지를 알고 있어야 합니다.

"우리는 클라우드 시대에 진입을 하면서 방화벽의이라는 전통적인 경계가 있엇으나 이는 사라지고,  신원이 중요한 경계가 되었으며 , 본질적으로 신원정보는  데이터가 저장되어 있는 네트워크 안으로 들어가기위해 올라가야 하는 하나의 울타리와 같습니다" 고 보안서비스 팀의 나르는 이야기 합니다. 85%의 사람들이 다양한 웹페이지에서 패스워드를 재사용하는 것을 인정하고 있다는 것을 생각해 보았을때, 유비코가 이야기 하는 해킹과 관련된 침해의 81%가 인터넷 크리덴셜 범죄자로 부터 나오는 것이 전혀 이상하지가 않습니다. 인간이 완벽하다는 생각을 기본으로 하는 보안 관리는 결국 망하는 지름길 입니다. 우리는 새로운 경계를 타이트하게 하기 위해서 패스워드 없는 인증을과 MFA (다중인증)을 사용해야만 합니다. 

다중인증은 로그인 절차안에서,  단계를 추가하기여, 공격자들의 공격 흐름을 막을 수 있습니다. 그러나 이 방식의 제어만 있는 것은 아닙니다. 예를들면 정보보안의 직원은 로그인을 할 때 반드시 캡챠 보안인증을 필수록 하도록 하는데 이는 CCSI가 이야기 한 크리덴셜 공격에  나타나는 이러한 자동화된 공격의 로그인 시도를 사전에 예방할수 있도록 돕습니다. 

더욱이 당신의 팀에서 유저 행동분석 도구를 사용한다면, 이것은 이미 권한이 계정들의 의심스러운 행동을 볼 수 있고,  만약 이 행위가 의심스러울 경우, 유저들에 이 사실을 알려주어서, 탈취된 계정에 새로운 패스워드를 부여하여 이 문제를 동료들과 함께 해결 할 수 있습니다.

To defend against credential stuffing attacks, you need to know two things. Where have they come from over the past couple of years, and where they are now?
  “As we have been propelled into the cloud, the traditional perimeter of the firewall is disappearing, and identity is the new perimeter,” Nair pointed out. “Essentially, identity is the fence that you must climb over to get into the network where the data is stored. Yubico estimates 81% of hacking-related breaches come from Internet credential theft, and this is not surprising given 85% of folks admitted to reusing passwords on multiple sites. Any security control that relies on humans’ infallibility is doomed. We must strengthen authentication by using multi-factor authentication (MFA) and passwordless authentication to tighten our new perimeter.”
  MFA is useful because it can help add steps to the login process, disrupting the flow of an attack. But it’s not the only control that does this. For instance, infosec personnel can require users to solve CAPTCHAs. This will help to prevent login attempts as part of an automated attack such as those that occur in a credential campaign, noted CCSI.
In addition, your team can use user behavioral analytics to review their authorized accounts for suspicious activity. If they detect any, they can notify the user and work with them to resolve the issue. This includes checking employees’ new passwords against those that have already been breached.

https://securityintelligence.com/articles/credential-stuffing-attacks-2021/