BruteForce 모의해킹

목차

• BruteForce 이론
• BruteForce 실습
• BruteForce 대응방안

 

 

BruteForce 이론

• 인증 정보(ID, PW)를 알아내기 위해 공격자가 반복적으로, 체계적으로 매번 다른 ID와 PW를 입력하는 방식의 공격이다.
• 보통 자동화된 툴이나 스크립트를 이용하여 엑세스 권한을 획득할 때까지 가능한 모든 조합을 대입해본다.
• 성공 기준: 비밀번호를 크랙하는 데 걸리는 시간
• 비밀번호 길이는 크랙 소용 시간과 비례(지수함수 형태)한다.
• 클라우드플레어에 따르면 초당 1500만회 의 키 입력 시도를 사용할 경우 7자로된 PW는 9분만에 크랙당함. 그러나 13자 비밀번호는 35만년이 걸린다.

 

BruteForce 실습

• 사전 준비 프로그램: BurpSuite(BruteForce 자동화 툴), password 파일 목록(칼리리눅스에서 제공)

시나리오

• 사전에 준비한 BurpSuite에 password 목록에 있는 password 값들을 해당 사이트 로그인 폼에 무작위로 대입하여 admin 계정을 획득한다.

 

• Brute Force 실습 페이지에 로그인 폼이며, ID는 admin으로 설정한 다음 비밀번호는 패스워드 파일로 무작위 공격을 시도하도록한다.

 

• 샘플 파일은 Kali 리눅스에서 제공해주는 password.lst를 사용한다.

 

• 파일안 패스워드 목록이다. 
• 해당 패스워드 파일은 실제 전세계에서 자주 쓰이는 패스워드들을 나열한 것이라고 한다.

 

대입해본 결과, 1111 이라는 값만 HTTP respose 길이가 다르다는 것을 확인해볼 수 있었고, 해당 값이 admin 계정의 비밀번호인지 확인해보았다.

• 로그인 성공하여 관리자 접속이 가능해졌다.

BruteForce 대응방안

• 길고 복잡하며 암호화된 비밀번호를 사용한다(256비트 암호화가 이상적).
• 비밀번호 해시에 솔트(salt)를 넣는다. 비밀번호 + 솔트 를 해시함수에 돌려서 역상 공격 방지
• 비밀번호 복잡성과 여러 계정에서의 비밀번호 재사용에 관한 정책 권고
• 특정 시간 내의 로그인 시도 횟수를 제한 및 특정 횟수의 부정확한 시도 이후 비밀번호 재설정을 의무화
• 비밀번호 인증에 속도 제한 적용
• 캡차(captcha) 활성화
• 가능한 경우 다중 요소 인증을 활성화
• 가급적 비밀번호 관리자 사용