Declared an innovator and leader for Secure Web Gateways (SWG) by Frost and Sullivan
Most Searched
기존 보안 접근 방식은 보안 팀 내부에 계속적으로 결함이 발생되고 이에 대한 막대한 비용이 많이 발생합니다. 멘로시큐리티는 다름을 제안합니다. 작업을 보호하는 가장 간단하고 확실한 방법은 온라인 위협을 사용자 및 비즈니스와 연결시키지않고 격리하는 것입니다.
eBook
Our platform invisibly protects users wherever they go online. So threats are history and the alert storm is over.
Data Sheet
Traditional network security wasn’t built to address today’s complex enterprise environments. SASE fixes that problem
Solution Brief
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise. The collective is made up of elite security researchers that put a spotlight on the threats you know and don’t know about.
Live Webinars
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise.
Menlo Labs | Oct 05, 2022
Share this article
Menlo Labs 연구팀은 최근 무기화된 템플릿 인젝션 문서가 어떻게 작동하는지 및 그것들을 어떻게 예방하는지에 대한 블로그를 게시했습니다. 악성 URL이나 익스플로잇 표시와 같은 특정 흔적이 없으면, 보안 스캐너에 의해 감지되지 않을 수 있습니다.
템플릿 인젝션 공격에 대한 연구를 계속하면서, 우리는 눈에 띄게 URL을 숨기는 흥미로운 위장 기술이 있는 여러 무기화된 문서를 발견했습니다. 문서에는 원격으로 호스팅되는 템플릿을 가져오기 위해 10진수 IP 주소를 사용하거나 모호한 URL 형식이 포함되어 있었습니다.
앞서 언급한 바와 같이, 이러한 공격은 다음과 같은 이유로 주목할 만합니다.
이 블로그는 위장된 템플릿 인젝션 공격에 대한 우리의 발견을 자세히 설명합니다.
보통 IP 주소는 XXX.XXX.XXX.XXX 형식의 점이 있는 10진 표기법으로 표시됩니다. 대안으로 IP 주소는 다른 표기법을 사용하여 표시할 수도 있습니다.
google.com의 IP 주소인 42.250.199.142 (이 글 작성 시점)를 사용하여 IP 주소에 대한 다양한 표기법을 보여드리겠습니다:
또한 위와 같은 표기법 외에도 0 최적화 점이 있는 10진 표기법이라는 또 다른 표기법이 있습니다. 이 표기법에서 IP 주소의 0은 제거되거나 압축됩니다.
이 예를 위해 라우터에서 사용하는 기본 게이트웨이 IP 주소인 192.168.0.1을 사용하겠습니다. 아래 목록은 IP 주소의 0을 최적화한 표현입니다:
기본적으로 대부분의 표기법(2진 표기법 제외)은 브라우저에서 허용됩니다. 이러한 표기법을 사용하면 유효한 URL 형식을 찾는 파일 기반 콘텐츠 검사 엔진을 회피할 수 있습니다.
복잡해 보이나요? 흥미롭나요? 기다려 보세요!!!
아직 끝난 것이 아닙니다! 이 판도라의 상자의 또 다른 부분을 살펴봅시다.
IP 주소 표기법이 파일 기반 콘텐츠 검사 엔진에게 이미 도전 과제를 제시하고 있는 반면, 모호한 URL 사용은 검사를 더 어렵게 만듭니다. 이 방법은 균일 자원 식별자(URI) 체계에서 “@” 사용자 정보 하위 구성 요소를 사용합니다. 이 문자를 사용하면 URI 일반 구문 형식으로 모호한 URL 형식이나 오해를 불러일으키는 URI가 생성되어 URI 기반 의미 공격이 발생합니다. 이해를 돕기 위해 같은 google.com IP 주소 예제를 사용해 보겠습니다. 오해를 불러일으키는 URI의 예는 https://[email protected] 입니다. 이 URL은 브라우저 주소 표시 줄을 통해 방문하면 google.com으로 해석됩니다.
여기서 “@”은 “test”를 무시하고 google.com으로 해석하는 구분 기호 역할을 합니다. 또한, 오해를 불러일으키는 URI를 생성하기 위해 “://” 권한 구성 요소를 사용해야 합니다.
이와 같은 기능은 “@” 반복 횟수에 상관없이 작동합니다:
이것은 8진수, 16진수, 10진수 표기법으로도 수행할 수 있으며, 예를 들어 https://[email protected]와 https://@721078158 같은 것입니다. 이것은 우리에게 흥미로운 실험이었습니다. 대부분의 애플리케이션이 표준 점이 있는 10진 표기법 외에도 8진수, 16진수 및 10진수/DWORD 표기법을 유효하지 않은 링크로 처리한다는 것을 확인했습니다.
또한, 공격자는 친숙한 URL 뒤에 악성 URL을 숨길 수도 있습니다. 다음 URL을 예로 들어 보겠습니다:
이 모든 예에서 URL은 google.com으로 해석되며, 192.168.1, 192.168.0.1 및 youtube.com은 실제 URL이 아닙니다.
브라우저 지원 비표준 IP 표기법과 오해를 불러일으키는 URI의 사용은 위장 역할을 합니다.
공격자는 다음 방법을 사용하여 URL을 확인하는 콘텐츠 검사 엔진을 우회할 수 있습니다:
이러한 공격은 새로운 것이 아니며, 10년 이상 사용되어 왔습니다. 2020년 9월, Trustwave는 이러한 URL 회피의 예를 인용하며 자세한 내용을 발표했습니다. 그들은 인코딩 된 16진수 IP 주소 형식과 짧은 URL을 마스킹하는 URL 의미 공격의 사용을 설명했습니다.
우리의 연구에서, 무기화된 템플릿 인젝션 문서에서 사용된 위장된 URL을 식별했습니다.
다음을 사용하는 위장된 URL이 호스팅 된 템플릿이 있었습니다:
우리는 분석에서 식별 된 이러한 표기법의 예를 공유할 것입니다.
우리가 분석한 문서에서 10진수 표기법 URL을 사용하는 문서는 그림 1과 같이 몇 가지 “.”과 “-” 문자를 위장으로 사용하고 있습니다.
파일의 세부 정보는 다음과 같습니다:
URL의 10진수/DWORD 1806450061은 점 표기법 IP 주소 형식의 107.172.61.141과 동일합니다.
다른 비슷한 문서에서도 10진수 표기법 URL을 사용하고, 여러 개의 “.”과 “-” 문자를 위장으로 사용했습니다. 또한, 공격자는 잘못된 URI 의미 공격을 만들었습니다(그림 2 참조).
이전에 설명한 대로, “@”는 구분 기호로 작용하여 “users”를 무시하고 “1806450061”을 고려합니다. 이는 점 표기법 IP 주소 형식인 107.172.61.141로 해석됩니다.
이제 질문은 사용자 개입 없이 이 위장이 자동으로 노출되는가입니다. 답은 예입니다.
이전에 언급한 두 경우 모두 무기화된 문서를 열면, 위장된 URL이 노출되고 107.172.61.141에서 템플릿을 가져옵니다. 이러한 무기화된 문서 실행 중에 패킷 캡처의 예가 그림 3에 나와 있습니다.
무기화된 문서는 원격 코드 실행으로 이어지는 Equation Editor에서의 스택 버퍼 오버플로 취약점인 CVE-2017-11882를 포함한 RTF 익스플로잇을 포함하는 템플릿을 다운로드했습니다. 이 취약점은 패치되었지만, 여전히 활발히 악용되고 있습니다.
우리의 분석에서 RTF 익스플로잇 템플릿을 사용하는 동안, 무기화된 문서에서는 FormBook, Snake Keylogger, SmokeLoader와 같은 악성 코드가 드롭되었습니다.
이전 글에서 설명한 대로, Menlo의 Isolation Core™를 기반으로 하는 클라우드 보안 플랫폼을 사용하는 고객은 설계상 템플릿 인젝션 공격으로부터 보호됩니다. Menlo 클라우드 보안 플랫폼은 인터넷에서 다운로드 된 모든 문서를 사용자의 엔드포인트에서 떨어뜨린 Isolation Core™에서 엽니다.
Menlo의 Safedoc 기능은 모든 활성 콘텐츠를 제거하여 악성 측면을 제거합니다. 문서는 안전한 버전으로 변환됩니다. 인터넷에서 다운로드 된 모든 문서가 안전한 버전으로 다운로드되도록 정책을 구성할 수도 있습니다.
이 블로그는 Menlo Labs에서 본 다양한 IP 주소 표기법 및 의미 공격에 대한 자세한 내용을 제공합니다. 위협 활동자는 이전에는 브라우저 지원 비표준 표기법을 사용하여 이 전략을 이용해왔습니다. 우리는 이 기법을 사용한 무기화된 템플릿 인젝션 문서의 예를 보여주었으며, 눈에 띄지 않는 “.”과 “-” 문자를 위장으로 사용했습니다. 이 공격은 일부 파일 기반 내용 검사 엔진에서 잘못된 링크로 처리되어 우회됩니다.
우리는 템플릿 인젝션 공격에서 위장된 변형을 몇 가지만 관찰했지만, 더 많은 공격을 예상합니다.
해시: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
URL:http://1806450055/..—.———————.—-—-—————/……288.dochttp://1806450056/……———————————………————-/…………..17.dochttp://[email protected]/….——————………………………………..—————/92.dochttp://[email protected]/….——————………………………………..—————/93.dochttp://[email protected]/..-…..———————-…….—————————..—…..—–/136.dothtmlhttp://1806450056/..-…..———————-…….—————————..—…..—–/137.dothtmlhttp://1806450061/…———————-……………..———————–……——-/………..77.dochttp://user[email protected]/..———..————–—-——————/…………………….87.dochttp://1806450061/…———————-……………..———————–……——-/……….88.dochttp://[email protected]/..———..————————————/………………………….89.doc http://[email protected]/..———..————————————/………99.doc http://1806450061/…———————-……………..———————–……——-/…………390.doc http://1806450061/…———————-……………..———————–……——-/………..400.doc http://1806450061/…———————-……………..———————–……——-/……….650.doc http://1806453907/..————.—–—-.——-––—–…————–.—–—–/o——–O–..—————–D—–-d-Op———-–.dothtml
IP:107.172.61[.]135107.172.61[.]136107.172.61[.]141107.172.76[.]147
Posted by Menlo Labs on Oct 05, 2022
Tagged with HEAT, Menlo Labs
Threat Research
궁금하신 내용이 있거나 비즈니스 상담을 원하시는 경우 양식을 제출하여 멘로 시큐리티 전문가에게 상담받으세요.