Declared an innovator and leader for Secure Web Gateways (SWG) by Frost and Sullivan
Most Searched
기존 보안 접근 방식은 보안 팀 내부에 계속적으로 결함이 발생되고 이에 대한 막대한 비용이 많이 발생합니다. 멘로시큐리티는 다름을 제안합니다. 작업을 보호하는 가장 간단하고 확실한 방법은 온라인 위협을 사용자 및 비즈니스와 연결시키지않고 격리하는 것입니다.
eBook
Our platform invisibly protects users wherever they go online. So threats are history and the alert storm is over.
Data Sheet
Traditional network security wasn’t built to address today’s complex enterprise environments. SASE fixes that problem
Solution Brief
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise. The collective is made up of elite security researchers that put a spotlight on the threats you know and don’t know about.
Live Webinars
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise.
Krishnan Subramanian | May 17, 2021
Share this article
지난 달, Menlo Labs 팀은 ‘크리덴셜 피싱’ 공격이 꾸준하게 증가하고 있음을 확인했습니다. 이 공격 유형은 잘 알려진 방식으로, 공격자는 기업에서 제공하는 서비스에 대한 사용자의 크리덴셜을 도용하기 위해 가짜 로그인 페이지 또는 양식을 만듭니다.
자주 공격을 받는 Office 365, Amazon Prime, Adobe 와 같은 클라우드 서비스뿐만 아니라, 한국에서 일반적으로 사용되는 소프트웨어 서비스와 암호화폐 지갑을 가장한 크리덴셜 피싱 공격도 발견 되었습니다.
지난 달, Outlook 및 Office 365 로그인 페이지로 위장한 대규모 크리덴셜 피싱 캠페인이 적발되었습니다. 기업에서 널리 사용되는 Office 365 서비스의 특성을 감안할 때 그다지 놀라운 소식은 아닙니다.
다음 도표는 지난 달 확인된 Office 365 크리덴셜 피싱 캠페인 표적 산업의 분포를 보여줍니다. 특히 항공사 면세점 로그인 크리덴셜이 표적이 되고 있으며 원형 그래프를 통해 주요 발생하는 분야는 여행 산업임을 알 수 있습니다.
가장 많이 사용되는 클라우드 서비스에서 호스팅 되는 피싱 페이지 수도 소폭 증가했습니다. Azure, OneDrive, Box, Firebase, Box 및 Dropbox와 같은 서비스를 이용하여 피싱 페이지를 호스팅하는 사례가 계속되는 상황에서, 지난 달에는 특히 널리 사용되는 개인 메모장 앱인 Evernote에서 피싱 페이지가 호스팅 되는 사례가 발견되었습니다.
공격자들은 탐지 솔루션을 피하기 위해 항상 새로운 수법을 시도합니다. 다음은 피싱에 많이 사용되는 것으로 확인된 몇 가지 대표적인 수법에 대한 자세한 설명입니다.
특정 피싱 HTML 페이지 콘텐츠에 Data-URL을 사용한 사례
O365 피싱 캠페인에서 매우 흥미로운 수법이 발견되었습니다. 이 수법은 URL에 사용자 이메일 주소를 추가하는 것으로 보입니다. 이어서 다음과 같이 피싱 페이지 경로가 동적으로 생성되며 사용자 이메일 주소가 자동으로 채워집니다.
피싱 방문 페이지의 경로가 동적으로 생성된다는 점을 고려할 때 경로 이름이 매우 길고 임의 문자가 사용됩니다. 다음 예와 같이 경로는 슬래시(/) 문자를 통해 두 부분으로 나뉩니다. 앞부분은 무작위로 생성된 폴더 이름이고 뒷부분은 무작위로 생성된 .php 파일입니다.
또 다른 일반적인 수법은 로컬 HTML/PDF 미끼 파일(decoy file)을 사용하여 피싱 콘텐츠를 로드하는 것입니다. 한국을 대표하는 웹 서비스 공급자인 Daum을 표적으로 하는 특정 사례의 경우 피싱 방문 페이지를 처음 방문하면 단말에 미끼 HTML 파일이 다운로드 됩니다. 이메일이 URL에 매개 변수로 추가되어 방문 시 단말로 즉시 다운로드 됩니다. 로컬 HTML 파일이 열리면 입력된 사용자 이름과 함께 실제 피싱 양식이 로드 됩니다. 이러한 미끼 파일로 피싱 양식을 로드하는 이유는 HTTP 응답 콘텐츠에 머신 러닝 또는 패턴 매칭을 사용하는 탐지 솔루션을 회피하기 위해서입니다.
이 방식의 특징:
피싱 페이지는 Clearbit과 같은 API를 사용하여 일반 Microsoft/Outlook 로고가 아닌 회사별 로고를 동적으로 로드하는 경우가 자주 있습니다. 이러한 경우 피싱 페이지는 Clearbit Logo API를 사용하여 회사별 로고를 검색합니다. 로고를 찾지 못하면 일반 Microsoft 또는 Office 로고를 사용합니다.
사이버 공격자들은 민감한 정보를 훔치기 위해 더욱 복잡한 방법으로 피싱 캠페인을 시도하고 있습니다. 공격자들은Let’s Encrypt와 같은 무료 서비스를 이용 하면서 피싱 사이트를 점점 더 쉽게 호스팅하고 있으며, 적중률을 높이기 위해 상대적으로 짧은 TTL과 SSL을 사용하고 있습니다. 크리덴셜 피싱 공격의 영향을 줄이기 위해서는 훈련 및 교육을 통해 사이버 보안 인식을 높이는 것도 중요하지만, 특히 기업 사용자들은 개인정보나 민감한 정보를 요청하는 사이트에 대해서 항상 주의해야 합니다.
Posted by Krishnan Subramanian on May 17, 2021
Tagged with credential phishing, Decoy Files, phishing attacks, Phishing Kit, Phishing Tactics
Threat Research
궁금하신 내용이 있거나 비즈니스 상담을 원하시는 경우 양식을 제출하여 멘로 시큐리티 전문가에게 상담받으세요.