それが完全なリモートワーク、オフィスでの仕事、またはハイブリッドワークスタイルの推進であろうと、従業員がどこでどのように働くかについての議論は続いています。しかし、どうなると思いますか?サイバー犯罪者にとって、このような会話はそれほど重要ではありません。ちっともない。それは、今日のエンタープライズワーカーがどこに住んでいても、仕事が地理的にどこで行われていても、仕事はウェブブラウザ内でデジタルで行われているからです。現在、Web ブラウザは仕事をこなすための頼りになるツールです。コミュニケーション、仕事、娯楽の仕方が一変しました。その意義は否定できません。
同様に、攻撃者にとってブラウザの重要性は否定できません。また、ソーシャルエンジニアリングやウェブブラウザに見られる脆弱性を介して企業のシステムやデータを攻撃する際には、回避的な手法を採用しています。最近、HTML の密輸など、いくつかの方法を取り上げました。 パスワードで保護された悪質なファイル、および MFA バイパス攻撃。しかし、Menlo Labsの研究チームが追跡している回避攻撃手法はこれらだけではありません。
もう 1 つの攻撃は、レガシー URL レピュテーション回避 (LURE) 攻撃と呼ばれるものです。LURE 攻撃は、企業ユーザーが悪意のある Web サイトや侵害された Web サイトにアクセスするのを防ぐために使用される Web フィルターを迂回するように設計されており、実際に回避されています。この攻撃は主に、ウェブサイトの評判を評価し、悪質なサイトがあるサイトへのユーザーアクセスをブロックすることに基づいています。攻撃者は現在、このシステムを有利に利用しています。ルアー攻撃は増加傾向にあります。Menlo Labs のリサーチチームが Menlo の顧客データを分析したところ、2021 年 7 月から 2022 年 7 月にかけて 70% の増加が見られました。
ルアーアタックとは?
LURE 攻撃は、脅威アクターが信頼に基づいてドメインを分類しようとするウェブフィルターをすり抜けるために利用されます。信頼できるウェブサイトにマルウェアをうまく侵入させることで、攻撃者は URL フィルタリングのセキュリティ防御を効果的に回避できます。次に、脅威アクターはマルウェアに感染した Web サイトを利用してエンドポイントを侵害し、ユーザーの認証情報を盗みます。
より標的を絞った攻撃では、攻撃者は新しいWebサイトを構築し、そのサイトをWeb上で無害に動作させて、時間が経つにつれて評判が高まるようにすることさえあります。最終的には、これらのWebサイトの振る舞いをひっくり返して攻撃キャンペーンを開始し、URL分類エンジンを驚かせるでしょう。また、スピアフィッシングメールを通じて被害者をこれらのサイトに誘導することもあります。
攻撃者はまた、成功の可能性を高めるために、CAPTCHASなどの従来の防御手段の使用を逆にします。CAPTCHAS は API ボットから人間のユーザーを認証するために開発されましたが、現在、脅威アクターはこの技術を使用してウェブ分類クローラーをブロックし、このような分類クローラーからサイトの本来の性質を隠しています。
これらのさまざまなLUREの例は、フィッシングページの公開、ブラウザエクスプロイトの実行、およびユーザーエンドポイントへの悪質なファイルの配信に使用できます。
LURE 攻撃が従来のウェブフィルターをいかに打ち負かすか
LURE攻撃は、良性で信頼できるWebサイトを悪意のあるWebサイトにすばやく切り替えることで従来のWebフィルターを回避するため、これらの攻撃は、疑いを持たない大勢のユーザーを迅速に危険にさらす傾向があります。ウェブフィルターと DNS フィルターは、既知の悪意のある Web サイトを効率的にブロックしますが、これらのテクノロジーに含まれる分類エンジンと拒否リストは、LURE 攻撃の最初の波を阻止するほど迅速には機能しません。
これらの URL フィルタは、URL のレピュテーションに基づいてサイトの良し悪しを判断する際の、従来は防御の最前線でしたが、20 年以上前から有効でした。残念ながら、攻撃者はこれらの防御を回避する方法を学んでいます。しかし、これらの防御策は、犯罪者が悪意のある Web サイトを作成し、そのサイトにマルウェアをホストし、そのサイトへのトラフィックを増やすために最善を尽くす時代を想定して設計されました。Web サイトの性質が特定されると、URL フィルターは URL をブロックすることでこれらの攻撃を阻止します。
脅威アクターは、回避型のLURE攻撃を通じて手法を進化させ、これらのフィルターよりも効果的な攻撃を行っています。そして、ルアーの改良はまだ終わっていません。彼らは評判の良いウェブサイトを作り続け、最終的には効果的なLURE攻撃キャンペーンを開始するサイトに転向するでしょう。
これらの理由から、LURE攻撃は回避性の高い適応型脅威(HEAT)に分類されます。
HEAT攻撃は、クラウドサービスやサービスとしてのソフトウェアアプリケーションの台頭により、脅威アクターの間で人気が高まっています。クラウドサービスは、その性質上 Web ブラウザーからアクセスされるため、ブラウザーはデジタル攻撃の理想的なターゲットとなっています。また、従来のセキュリティツールは、エンドポイントにインストールされたアプリケーションやローカルネットワークを流れるトラフィックを保護するために設計されていたため、ブラウザ内のデータや接続を保護する上ではあまり効果的ではありません。
Palo Alto Networksによると、フィッシングキットの90%は、従来のWebセキュリティを役に立たなくする回避技術を使用しています。
LURE 攻撃の実際の例
最近、LureスタイルのHEAT攻撃が発生している例は数多くあります。今年初め、金融業界や医療業界を標的にした「攻撃的な脅威アクター」が SEO ポイズニング戦術と「Gootloader」と呼ばれるマルウェアを仕掛けているというニュースが流れました。
「攻撃者は、特定のキーワードやリンクを使用してWebサイトを作成したり、Webフォーラムや同様のWebサイトに入力したりして、感染したファイルをホストするWebサイトにつながります」(SC Magazine) 引用 研究者は述べました。
最近の別の攻撃では、技術ニュースサイトのBleepingComputerが、フィッシングキャンペーンの分析を行いました。 悪意のある Google 広告を利用した フィッシングサイトの結果を Google の検索結果に表示すること。攻撃者はアマゾンウェブサービス (AWS) のログイン認証情報を標的にしました。
効果的なSEOのおかげで、悪質な広告は「AWS」を検索したときに2位にランクされました。ユーザーは、悪意のある広告のいずれかをクリックすると、ブロガーのウェブサイトに誘導されました。このLURE攻撃では、ウェブサイトは本物のAWSログインページと思われるものをホストしていました。
同様に、次のような悪名高いグループ 北朝鮮国家主体ラザログループ LURE攻撃を使用することが確認されています。VIPER スピアフィッシングキャンペーンも行われています。 クボットキャンペーン、およびLureスタイルの攻撃を使用するその他の国家脅威アクター。
これらの攻撃は蔓延しつつあり、Menlo Labsが分析した500万を超える悪意のあるURLのうち、HEAT攻撃の50%が分類されたWebサイトから発生しています。
ルアー攻撃を防ぐ方法
LURE攻撃などのHEAT攻撃から効果的に防御するには、企業はユーザーのWebブラウザのセキュリティを強化する必要があります。ブラウザー分離技術などを使用して、Web ブラウザー内でイベントの実際の実行を実行することで、企業は Web トラフィック内で実際に発生するイベント (難読化された JavaScript コードなど) を監視し、被害が発生する前に HEAT 攻撃を特定できます。
また、ブラウザ分離技術を使用してブラウザのアクティビティを分析し、悪意のある意図を判断することで、動的なセキュリティポリシーを起動して、脅威がエンドユーザーのブラウザに到達するのを防ぐことができます。ドキュメント固有のセキュリティポリシーを HEAT ダウンロード (エンドユーザーをリスクから保護する分離モードで閲覧またはダウンロードする) にも適用できます。
企業のセキュリティチームは、LURE などの HEAT 攻撃からユーザー、システム、データを守る方法を理解する必要があります。なぜなら、従業員がリモートで働いているか、オンサイトで働いているか、あるいはその両方で働いているかにかかわらず、攻撃者にとっては問題ではないからです。攻撃者は労働者が常に仕事をしている場所、つまりウェブブラウザを標的にすることになります。