ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
最近リリースされたいくつかの良いニュースにもかかわらず 2023 サイバーエッジサイバー脅威防御レポート (CDR)、注目を集める侵害が業界を悩ませ続けています。Rackspace から Twitter、GitHub に至るまで、世界中の企業、組織、政府機関が、従来のセキュリティソリューションの回避に長けつつある巧妙な攻撃者の被害に遭っています。
やや明るい点は、これらに光を当てている明確なパターンがあるということです。 高回避型適応型脅威 (HEAT)。これらのHEAT攻撃は、Webブラウザの脆弱性を悪用し、さまざまな回避手法を使用して検出ベースのセキュリティツールを回避します。これらには、多要素認証 (MFA) のバイパス、HTML の密輸、パスワードで保護された悪意の活用、レガシー URL レピュテーション回避 (LURE) などが含まれます。言うまでもなく、これらはセキュリティチームがブラウザのセキュリティを強化するための警鐘となっています。
これまでHEAT攻撃に慣れていないかもしれませんが、ニュースで話題になったサイバー攻撃のうち、この脅威カテゴリに分類される5つのサイバー攻撃のリストをまとめました。
ニュース記事を読む
回避テクニック: パスワードで保護された悪質なファイルの利用
従来のセキュリティ技術はバイパスされました: セキュア Web ゲートウェイ (SWG)、サンドボックス、セキュアメールゲートウェイ
攻撃の構造: 中国政府の支援を受けていると長い間疑われてきた悪名高いハッカー、アース・プレタは、世界中のITネットワークにアクセスするために、その回避手法を進化させ続けています。今回の攻撃では、このグループはパスワードで保護された悪質なファイルを使用して、データ漏洩に使用されるバックドアアクセスと指揮統制ツールを配備しました。これらのメッセージは、Google Drive や DropBox のリンクを利用して、スピアフィッシングを通じて対象となる被害者に配信されます。 悪質なペイロードを偽ファイルに隠す それは合法的な文書として偽装されています。ごく最近、Earth Pretaは、電子メールゲートウェイソリューションやセキュアウェブゲートウェイ(SWG)、サンドボックスによるスキャンを避けるために、パスワードで保護されたファイルにダウンロードリンクを埋め込んでいます。これらのツールには、正当なビジネスユースケースを阻害しないように、パスワードで保護されたすべてのファイルをブラウザからダウンロードすることを許可するポリシーがしばしば設定されています。
攻撃を防ぐ: 既知か未知か、良いか悪いかにかかわらず、リモートブラウザ分離 (RBI) は、クラウドのリモートブラウザですべてのファイルをフェッチして実行します。これらのソリューションを活用することで、文書は安全で分離された Web ページに表示され、アクティブスキャンが行われます。文書が検査に合格して初めて、管理者は文書をダウンロードできます。これにより、ユーザーエクスペリエンスへの影響を最小限に抑えながら、最大限の保護を実現できます。
ニュース記事を読む
回避テクニック: レガシーレピュテーション回避テクニック (LURE)
従来のセキュリティ技術はバイパスされました: URL フィルタリング、HTTP ページ/コンテンツ検査
攻撃の解剖学: 最近のフィッシングキャンペーンでは、Google 広告を使用して フィッシングサイトを Google 検索に忍び込ませる アマゾンウェブサービス (AWS) ユーザーのログイン認証情報を盗もうとしています。実際、この攻撃は悪質な結果が Amazon 独自の有料検索結果に次ぐ第2位となっています。リンクをクリックすると、ユーザーは攻撃者の管理下にある偽の食品ブログに移動します。その後、ユーザーは、一見本物の Amazon ブランドとメッセージが掲載された偽の AWS ログインページにリダイレクトされます。その後、偽のフォームに認証情報を入力したユーザーは侵害されます。
攻撃を防ぐ: Google 広告でフェイクフードに関するブログの評判が高まると、脅威アクターは疑わしいサイトをブロックする分類エンジンを回避できます。Isolation 内で動的なポリシーを適用することで、ログインフォームを自動的に無効にして読み取り専用にすることで、これらの攻撃を阻止できます。これらのフィッシング防御ツールは、メールパスだけではなくブラウザレベルで実装されています。つまり、メール以外の脅威ベクトルを通じたフィッシング攻撃を阻止するアプローチです。
ニュース記事を読む
回避テクニック: HTML の密輸について
従来のセキュリティ技術はバイパスされました: ファイルベースインスペクション、HTTP コンテンツ/ページインスペクション
攻撃の解剖学: アドビ、グーグル、米国郵政公社などの有名ブランドになりすまして、Cobalt Strike、Qakbotなどのマルウェアを配信するHTML密輸キャンペーンが増加しています。 アイス・ディッド とXworm RAT。HTML スマグリングは、悪意のあるファイルを、それ自体では疑わしいことは何もしない小さな Javascript ブロブに分解することで機能します。しかし、いったん検査エンジンを通過すると、ファイルはブラウザレベルで動的に再構築されます。これらの HTML スマグリング手法は、埋め込まれたペイロードを JavaScript コード内にオフラインで保存し、Web ブラウザーで開いたときにデコードされてファイルオブジェクトに再アセンブルされる HTML5 属性を使用することで機能します。未知の PDF などの疑わしいファイルタイプを避けることはよく知られていますが、HTML ファイルは安全であると見なされることがよくあります。特に、既知のブランドから提供されているように見える場合はなおさらです。
予防: この場合、分離などの防止技術が代理ブラウザとして機能し、ユーザーのローカルブラウザ上で再アセンブルして実行しようとしているファイルを監視します。これらの疑わしい文書は隔離され、ウイルス対策ツールまたはサンドボックスによって検査されます。また、フィッシング防止ツールはレンダリング後に画像 (ブランドロゴなど) を検査して、ファイルレベルで改ざんされていないかを特定することもできます。
ニュース記事を読む
回避テクニック: SEOポイズニング
従来のセキュリティ技術はバイパスされました: URL フィルタリング、HTTP ページ/コンテンツ検査
攻撃の解剖学: SEO ポイズニングにより、悪意のある攻撃者は、悪意のあるコンテンツを実際よりも関連性が高く信頼できるものとしてユーザーに見せかけることで、疑いを持たないユーザーを利用することができます。特定のキーワードやリンクをサイトに挿入して誘導するという仕組みです。 検索エンジンの結果のトップに上り詰める。ユーザーはだまされて、マルウェアがブラウザからエンドデバイスにダウンロードされるサイトにアクセスします。次に、ページのソースファイル内のコードを隠すことで検出を回避する難読化されたJavascriptループを使用して、第1ステージと第2ステージのペイロード用のZIPファイルが配信され、最終的にはGootloaderやCobalt Strikeなどのマルウェアがさらに展開されます。これにより、攻撃者は被害者のデバイスを制御して機密情報を収集できるようになります。
予防: メールパスではなくウェブパスに実装された高度なフィッシング防御ツールを使用すると、実行時に隔離された状態で難読化されたコンテンツを検出できます。隔離された状態で代理ブラウザを使用することで、実行時に難読化されたコンテンツは隔離された状態で実行時に難読化解除され、実行時にユーザーのローカルブラウザで実行されるであろう悪質なコードからユーザーを保護し、ユーザーを完全に保護します。
ニュース記事を読む
回避テクニック: 多要素認証バイパス
従来のセキュリティ技術は回避されました: URL フィルタリング、HTTP ページ/コンテンツ検査
攻撃の解剖学: 最近、未知の脅威アクターが Reddit の従業員に、会社のイントラネットゲートウェイのように見えて動作する悪意のある Web サイトにアクセスするように指示するプロンプトを送信しました。あるユーザーがフィッシング攻撃に遭い、資格情報と 2 要素認証 (別名 MFA) トークンを渡してしまいました。その後、脅威アクターは内部文書、ビジネスシステム、一部の広告情報にアクセスできました。
予防:新しい隔離ベースの行動エンジンは、高度な機械学習アルゴリズムを使用して、ブランドロゴ、ページ要素、入力フィールド、URLリンクをブラウザ内で直接分析し、要求されたページが悪意のあるものかどうかをリアルタイムで判断します。これらのフィッシング対策ツールは適応型セキュリティ制御と相まって、アクセスを動的にブロックしたり、ページを読み取り専用モードにしたりします。
Googleの報告によると、ナレッジワークの 75% はウェブブラウザ内で行われており、ベライゾンは現在、侵害の 90% がブラウザを通じて行われていると報告しています。これらの生産性向上ツールはサイバーセキュリティチームにとって脚光を浴びていると言っても過言ではありません。悪意のある攻撃者は、従来のセキュリティツールが進行中の回避型ブラウザ攻撃を検出することをこれまで以上に困難にするために、その手法を絶えず進化させています。そして、いったんエンドポイントに初めてアクセスしたとしても、攻撃の拡大を阻止するには遅すぎます。組織は、こうした高度に巧妙な攻撃を阻止するために、プロアクティブで予防的なブラウザセキュリティ戦略にもっと注力する必要があります。そのためには、そもそもゼロアワー攻撃の発生を未然に防ぐために、ブラウザを可視化し、適応型のセキュリティ制御を提供する技術に焦点を当てる必要があります。
