암호 인증 대량 실패
사용자가 다른 사용자에 비해 1Password 앱의 마스터 인증을 과다하게 실패하는 경우 탐지합니다.
쿼리
서브쿼리는 최근 1개월 감사 로그를 10분 단위로 분할하여, 암호 인증 실패가 과다하게 발생한 계정, 출발지 IP 주소 및 시간 구간을 추출합니다. 이렇게 추출된 이상 구간을 원본 인증 로그 최근 10분 내역과 대조하여 인증 로그를 근거 내역으로 추출합니다.
table duration=10m *:AUTH_1PASSWORD*
| search _schema == "1password-signin"
| eval slot_time = datetrunc(_time, "10m")
| join src_ip, slot_time, target_user_uuid
[ table duration=1mon AUTH_1PASSWORD
| search _schema == "1password-signin"
| eval slot_time = datetrunc(_time, "10m")
| search category == "credentials_failed"
| stats count by src_ip, slot_time, target_user_uuid, target_user_email
| lof eps=0.1 count
| search _lof >= 2 and slot_time >= ago("10m") ]
| eval user = target_user_email
| sort _time
메시지
- 암호 인증 대량 실패: 행위자 $user_name ($user_email)
출력 필드 순서
- _log_time, src_ip, src_asn, target_user_email, target_user_name, target_user_uuid, type, category, result, os_name, os_ver, platform_name, platform_ver, app_name, app_ver
위협 분석
- 공격자는 다크웹에 유출된 암호 또는 암호 사전을 이용하여 1Password 인증을 시도할 수 있습니다. 1Password 서비스는 크리덴셜을 대량으로 보유하고 있으므로, 공격자가 1Password 인증에 성공한다면 심각한 피해가 발생할 수 있습니다.
오탐 유형
- 사용자가 암호를 기억하지 못해서 반복적으로 시도하는 경우에도 대량 실패로 탐지될 수 있습니다.
대응 방안
- 1Password Business 플랜을 사용하는 경우, 1Password 정책 관리 화면에서 방화벽 규칙을 설정합니다. 특정한 국가나 IP 주소를 허용하거나 거부하도록 설정할 수 있습니다.
MITRE ATT&CK
- 전술
- Credential Access
- 기법
- 이름: Brute Force
- ID: T1110
- 참조 URL: https://attack.mitre.org/techniques/T1110/