脅威アクターは、悪意のある Web アドレスを隠し、検出されないようにする URL 短縮サービスを利用して、ユーザーを騙して危険な Web サイトにアクセスさせる新しいフィッシング手法を発見しました。これにより、セキュリティシステムがそれらをブロックしたり、ユーザーを騙して有害なリンクをクリックさせたりすることが難しくなります。Menlo Labs が提供したデータによると、URL 短縮技術は脅威アクターの間でますます使用されるようになっています。
以下では、一種の URL 短縮について詳しく説明します。 レガシー URL レピュテーション回避 (LURE) 攻撃、また、組織がこれらの攻撃を検知してネットワークを危険にさらす方法を紹介します。
フィッシングは依然としてサイバーセキュリティ専門家の最大の懸念事項です
フィッシング は、常にサイバー犯罪における攻撃経路の上位を占めており、その平均は 491万ドルの侵害および復旧コスト。過去 6 か月間、 Menloセキュリティ脅威研究チーム ブラウザベースのフィッシング攻撃が 198% 増加しており、そのうち 30% は回避型と分類されています。
フィッシング攻撃の増加と成功は、新たな攻撃と相関しています サービスとしてのフィッシング (PHaaS) そして ランサムウェア・アズ・ア・サービス (RaaS) 最近市場に出回っているキット。キットに含まれる既製の電子メール、テキスト、ソーシャル、広告のテンプレート、スクリプト、その他のベストプラクティスは、コーディングの専門知識が限られている、またはまったくない初心者が、悪意のあるキャンペーンを作成して開始する際のハードルを大幅に引き下げます。
これらの攻撃は、さまざまな回避手法を使用して通常のURLフィルタリングおよび分類システムをバイパスします。これらの攻撃は、貴重なデータを盗むだけでなく、ユーザーの認証情報を盗み、重要なビジネスシステムを制御することを目的としています。
URL短縮サービスにより、攻撃者は目に見えない場所に隠れることができます
人気の URL 短縮サービスは、攻撃者がユーザーを騙して無意識のうちに悪意のあるリンクをクリックさせることを防ぎます。市場分析では、長い URL よりも短く、読みやすく、覚えやすい URL の方がクリック率が高いという証拠が古くから提供されており、この手法はブランドや顧客の間で受け入れられるようになった一般的な手法です。
問題は、URLを短縮するとリンクの真の宛先が隠され、ユーザーはリンクによって適切なページまたはWebサイトに誘導されるかどうかがわからないことです。ブランドのロゴ、トーン、スタイルを正確に模倣できるフィッシングメールがますます巧妙になっていることと相まって、これらの攻撃により、手遅れになるまで、ユーザーが悪意のあるリンクを特定することは事実上不可能になっています。
従来の検出ツールでは不十分
残念ながら、URLフィルタリングや分類などの従来のセキュリティソリューションは、URL短縮サービスを使用するLURE攻撃の検出においてユーザーに勝るものはありません。これらのツールは、最終的にリダイレクトされた宛先ではなく、リストされている URL のレピュテーションをスコアリングすることで機能します。反対に、短縮された URL をすべてブロックするだけでは、特にこれらのサービスが合法的なビジネスおよびマーケティングツールとなったため、ヘルプデスクへの問い合わせが大量になります。
一部のセキュリティツールはURL短縮の課題に対応していますが、攻撃者は常に手法を進化させており、多くの場合、従来のセキュリティツールを迂回してエンドポイントを侵害するために複数の手法を組み合わせています。
脅威アクターがこれらのフィルターを回避するためにURL短縮戦術を使用するいくつかの方法を次に示します。
難読化
悪意のある攻撃者は、URL短縮機能を使用してリンクの実際の宛先をわかりにくくします。これにより、ユーザーはフィッシングサイト、マルウェアのダウンロード、その他の有害なコンテンツにつながるリンクをクリックするようになります。多くの場合、悪意のある攻撃者は、最終的な宛先をさらに難読化するために、複数のリダイレクトを使用し、場合によっては複数のURL短縮サービスを使います。これらのサイトの多くは、自動スキャンの回避を容易にするCAPTCHAチャレンジを実施しています。
ブラックリストの回避
一部のコンテンツフィルターとセキュリティシステムでは、既知の悪意のある URL のブラックリストを管理しています。URL 短縮サービスを使用すると、攻撃者はこれらのブラックリストに直接含まれていないリンクを作成できるため、自動システムがそれらを検出してブロックすることがより困難になります。
ダイナミックコンテンツ
一部の URL 短縮サービスでは、リンクの作成後にユーザーがリンク先 URL を変更できます。攻撃者は、最初に無害な URL を指定してフィルターを通過させ、後でリンクを更新して悪質なコンテンツを指すことがあります。
このソリューションでは、ブラウザを完全に可視化する必要があります
組織が新たな検出方法を必要としていることは明らかです 検知回避型脅威 (HEAT) 従来のセキュリティツールを回避するためにURL短縮を使用しています。これらのツールは、URL レピュテーションにとどまらず、ブラウザを完全に可視化して、最終宛先の Web 要素を直接確認できるようにする必要があります。
これらのリンクがユーザーをリダイレクトする場所を確認し、これらの要素に基づいてリアルタイムのリスク評価を適用できる必要があります。このリスク評価スコアに基づいて、アクセスを許可したり、アクセスをブロックしたり、隔離や読み取り専用による安全なアクセスを提供したりといった適切なポリシーを適用できます。
方法についてさらに詳しく メンロセキュリティはLURE攻撃を検出して阻止します 従来のセキュリティツールを回避するためにURL短縮技術を使用しています。