Dylan Ayrey “TruffleHog이라는 도구 사용해 키를 검색해 찾아낼 수 있다”
git 저장소에서 다양한 암호 강도를 가진 비밀키를 찾아내는 툴이 공개됐다. 개발자인 Dylan Ayrey에 따르면 TruffleHog라고 불리는 이 도구는 커밋(commit) 이력 및 분기(branch)를 깊게 파고들어 높은 엔트로피의 문자열을 포함하는 키를 검색하고 찾아낼 수 있다고 밝혔다.
Ayrey는 TruffleHog의 검색 능력이 "높은 엔트로피를 지니는 커밋된 비밀키를 찾는데 효율적"이라고 말하며, GitPython만 준비되어 있으면 동작가능하다고 설명한다.
이 모듈은 각 분기(branch)의 전체 커밋 내역을 살펴보고, 각 커밋에서 각 diff를 확인하여 base64 문자셋과 16진수 문자셋에 대해 Shannon 엔트로피를 계산한다.
TruffleHog는 Shannon Entropy(.PDF) 계산기를 사용해 엔트로피 레벨을 계산한다. 키 값을 결정하는데 필요한 정보의 양에 따라 얼마나 크랙이 어려워지는지를 결정할 수 있기 때문이다. 높은 엔트로피 문자열이 감지되면 문자열이 화면에 인쇄된다.
TruffleHog 사용자들의 레딧 토론에서 아마존은 이미 이 툴을 사용해 아마존 웹서비스(AWS)를 위한 GitHub에서 공개 저장소에 연결된 키들이 드러나는지 검색해 공격자들이 키를 탈취하거나 AWS인스턴스를 보내는 등의 악성 행위를 미리 차단한 것으로 보인다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지