ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

デジタル密輸業者:攻撃者がHTML密輸手法を使用して従来のセキュリティ防御を打ち負かす方法

ネコパペス
|
July 4, 2023

Web ブラウザが企業の生産性向上に不可欠なアプリではなかった時代を想像するのは難しいです。1990 年代に生まれた多くの企業従業員は、Web ブラウザがほぼすべてのオフィスアプリケーションにアクセスするための主要なウィンドウではなかった時代を覚えていないでしょう。

現在、Webブラウザは、スタッフが業務を行う際に使用するデファクトエンタープライズアプリです。そして、Web ブラウザは、私たちのコミュニケーション、仕事、娯楽の方法に革命をもたらしました。

Webブラウザーの成功、つまり考えられるほぼすべてのエンタープライズアプリケーションへのアクセスに使用されているという事実は、今日のサイバー犯罪者がエンタープライズアプリケーションやデータにアクセスするための侵入口としてWebブラウザーを絶え間なく標的にしている理由でもあります。そして、攻撃を成功させるために、ますます回避的な攻撃手法を使用するようになっています。

この戦略は有効であることが証明されています。これは主に、従来のセキュリティツールではブラウザを十分に保護できず、回避率の高いWeb脅威が増えていることに対する防御も不十分であるためです。

このような回避性の高い脅威の1つがHTMLスマグリング攻撃です。これは、広く使用されているHTML5の機能を採用して、従来のセキュリティ防御を迂回します。セキュリティチームが今日の脅威アクターからシステムやデータを守るためには、HTML スマグリング攻撃の性質と阻止する最善の方法を理解することが不可欠です。

HTML スマグリング攻撃とは何ですか?

HTMLスマグリング攻撃は、HTML5属性を使用してマルウェアや認証情報を盗むフィッシング攻撃を行います。攻撃者は、通常2つの方法のいずれかで、特別に細工されたHTML添付ファイルまたはWebページ内のエンコードされた悪意のあるスクリプトを「密輸」します。1つは、ダウンロードイベントを使用してペイロードをデータユニフォームリソースインジケーター(URI)を介してターゲットの被害者のデバイスに配信する方法、もう1つは、ファイアウォールの内側に入ると標的の被害者のデバイスへのダウンロードイベントを正常にトリガーするJavaScriptブロブと呼ばれるものを作成する方法です。

攻撃者は確実に成功するために、実証済みのソーシャルエンジニアリング手法を活用し、Adobe Acrobat、Dropbox、Google Driveなどの有名で信頼できるオンラインブランドになりすまします。標的となった被害者が通常、電子メールやソーシャルメディアメッセージで配信されるリンクをクリックすると、最終的なファイルのうち、個別に悪意のない個別のファイルの一部がダウンロードされ、HTMLの密輸プロセスが始まります。個別のペイロード要素がすべてダウンロードされると、悪意のあるペイロードがエンドポイントに集められます。

この「多段階配信」手法は、レガシープロキシのサンドボックスやアンチウイルスなど、さまざまなファイアウォールやネットワークセキュリティソリューションを効果的にバイパスします。さらに、Secure Web Gatewaysによってブロックされていると思われる種類のファイルが、HTMLの密輸によってエンドポイントに届くこともあります。

HTMLの密輸が従来のセキュリティ防御をいかに回避するか

HTMLの密輸手法は、どうして従来のセキュリティ防御を簡単に回避できるのでしょうか。これらのツールは通常、シグネチャとパターンに基づいて疑わしい添付ファイルや異常なトラフィックのみをチェックします。HTML の密輸がいかにサンドボックスを回避するかを考えてみましょう。

HTMLの密輸は、悪意のあるコードを配信する革新的な方法を実装することで、サンドボックスを含む従来のセキュリティプロトコルを巧みに回避します。HTML スマグリングは、セキュリティ対策によって傍受されブロックされる可能性のある悪意のあるファイルを直接ダウンロードする代わりに、一見無害な JavaScript ブロブやサブコンポーネントに悪意のあるコードの細かな断片を埋め込みます。

これらの小さなブロブは、サンドボックスでデコードできる形式ではないため、分析されないままです。個別には有害なアクションは発生しないため、サンドボックス内でアラートは発生しません。しかし、一見無害に見えるこれらのブロブには、ユーザーの介入なしに、ローカルブラウザーレベルで有害な実行ファイルに自律的に再構築する機能があります。

この独創的なアプローチにより、従来のファイルコンテンツ検査エンジンの支配を効果的にすり抜け、サンドボックス対策を回避できるようになり、従来のサイバーセキュリティ防御には大きな盲点がありました。

さらに、攻撃者は難読化技術を使用して悪意のあるコードを検出されないように隠します。攻撃者は Base64 エンコーディングを使用し、それをエンドポイントでデコードします。また、セキュリティツールが悪意のあるアクティビティを検出するのも難しくなります。HTML スマグリング攻撃は、これらの手法をバイナリデータとして使用し、ユーザーの Web ブラウザーを開くとファイルオブジェクトにデコードできる JavaScript コードに埋め込まれ、Web プロキシの防御も回避します。

全体として、HTMLスマグリング攻撃は回避性が高く、標準的な境界セキュリティ制御を迂回するように設計されているため、組織にとって重大な脅威となっています。HTML スマグリング攻撃の増加は、攻撃者の成功によるものと考えられます。これは、ブラウザが組織にとって最も脆弱なリンクの 1 つになっているためです。それでは、実際の HTML 密輸攻撃の例を見てみましょう。

HTML スマグリング攻撃の実例

Nobeliumとして知られるロシアのサイバー犯罪集団 悪名高いSolarWinds攻撃の背後にいるグループは、HTMLの密輸を利用してマルウェアを配信したことで有名です。この国家の脅威アクターグループは、これらの組織への足がかりを得ようとする政府機関に対する最近のスパイ攻撃の一連として、HTMLの密輸も利用しています。

一部の攻撃では、Nobeliumは標的となった個人にスピアフィッシングメールを送信し、悪意のあるJavaScriptファイルをホストするWebサイトにリダイレクトするリンクをクリックするように促しました。JavaScript ファイルが HTML スマグリング攻撃を仕掛け、ペイロードは一見無害な画像ファイルの中に隠されていました。ブラウザは HTML と JavaScript を使用して画像ファイルを読み込んでデコードし、悪質なコードを実行した結果、攻撃者は被害者のシステムにアクセスできるようになりました。

この手法が効果的だったのは、ネットワークトラフィックの検査や既知の悪質なドメインのブロックに依存する従来のセキュリティ対策の多くを回避できたからです。HTML スマグリングにより、攻撃者は一見無害に見えるウェブトラフィックの中に悪意のある活動を隠すことができたため、セキュリティツールが攻撃を検出してブロックすることが困難になりました。

もう一つのHTML密輸キャンペーン アイソモルフと呼ばれるは、人気のDiscordメッセージングアプリを使用して悪意のあるペイロードをホストしました。この攻撃では、前述の Javascript blob を利用して、Web ブラウザ内のターゲットのエンドポイントに悪意のあるファイルを作成しました。

CSO Onlineのレポートで、Trustwave SpiderLabsは、Adobe PDFビューアをテーマにしたなりすましを介してCobalt StrikeマルウェアをドロップしたフィッシングメールのHTML添付ファイルを発見したことを明らかにしました。

「HTMLが読み込まれると、LNK [Windowsショートカット] ファイルを含むISOファイルがドロップされ、クリックするとペイロード実行シーケンスが起動します」とCSOOnlineはSpiderLabsの言葉を引用しています。「LNK ファイルにより PowerShell が起動し、「.ps1」ではなく「.log」という拡張子の付いたPowerShellスクリプトが実行されます。CSO はこう書いている。拡張機能を変更すると防御を回避しようとし、ユーザーを騙して普通のログファイルだと思わせてしまう。

これらの手法は非常に効果的であるため、MITRE ATT&CK フレームワークは、攻撃者が初期アクセスを得るために使用する手法として HTML スマグリングに対処しています。具体的には、HTML の密輸は」に該当します。代替プロトコルによる情報漏えい「(T1048)とは、非標準のプロトコルまたはチャネルを使用して、侵害されたシステムからデータを盗み出すことを指します。

HTML 密輸攻撃の陰湿な性質

HTMLの密輸の仕方が原因です 従来のセキュリティ防御を迂回できる サンドボックス、メールセキュリティエンジン、ウェブゲートウェイなどのHTMLスマグリング攻撃は、回避性の高い適応型脅威(HEAT)またはHEAT攻撃に分類されます。これらの脅威は、クラウドやサービスとしてのソフトウェア (SaaS) アプリケーションの台頭とともに人気が高まりました。従来のセキュリティ・ツールは、ブラウザを経由するデータや接続ではなく、インストールされているアプリケーションとローカル・ネットワーク・トラフィックを保護するように設計されていたため、通常はウェブ・ブラウザからアクセスされるクラウド・サービスが、ブラウザにとって理想的なターゲットとなっています。

HTMLスマグリング攻撃は非常に迅速に実行され、攻撃者は現在の企業Webブラウザーのセキュリティ上の弱点を悪用できるため、これらの攻撃は依然として企業のデータやシステムにとって非常に危険です。このような攻撃から身を守ることができる企業は、ユーザーの Web ブラウザーのセキュリティを効果的に強化している企業です。

HTML スマグリング攻撃を防ぐ

これらの企業にとって、効果的なウェブブラウザセキュリティとはどのようなものでしょうか?ブラウザアクティビティの可視性の向上と、HTML スマグリングなどの HEAT 攻撃をリアルタイムで検出して対応できるテクノロジーの導入に重点が置かれることは間違いありません。

HEAT攻撃に対して有効であることが証明されているもう1つの重要な防御策は、リモートブラウザ内のWebセッションを分離する分離技術です。これにより、エンドポイントの外部でページリクエストを実行できるため、安全でサニタイズされたバージョンのWebセッションのみがエンドユーザーに返されます。

組織にとって、遅らせる時間はありません。脅威アクターは常に戦術を更新し、回避型の脅威を使用してブラウザを標的にします。セキュリティチームが防御を成功させるためには、ウェブブラウザ内での可視性と制御性が向上するように防御を調整する必要もあります。また、攻撃者が採用した変更に適応し、システムやデータを動的に防御するセキュリティコントロールを導入する必要があります。

linkedin logotwitter/x logofacebook logoSocial share icon via eMail