크리덴셜 피싱: 유형과 수법

지난 달, Menlo Labs 팀은 ‘크리덴셜 피싱’ 공격이 꾸준하게 증가하고 있음을 확인했습니다. 이 공격 유형은 잘 알려진 방식으로, 공격자는 기업에서 제공하는 서비스에 대한 사용자의 크리덴셜을 도용하기 위해 가짜 로그인 페이지 또는 양식을 만듭니다.

자주 공격을 받는 Office 365, Amazon Prime, Adobe 와 같은 클라우드 서비스뿐만 아니라, 한국에서 일반적으로 사용되는 소프트웨어 서비스와 암호화폐 지갑을 가장한 크리덴셜 피싱 공격도 발견 되었습니다.

주요 사항:

• 지난 달 크리덴셜 피싱의 현저한 증가 확인
• 공격자들이 기존 탐지 솔루션을 우회하기 위해 크리덴셜 피싱 페이지를 사용

O365, 피싱 표적 1위

지난 달, Outlook 및 Office 365 로그인 페이지로 위장한 대규모 크리덴셜 피싱 캠페인이 적발되었습니다. 기업에서 널리 사용되는 Office 365 서비스의 특성을 감안할 때 그다지 놀라운 소식은 아닙니다.

다음 도표는 지난 달 확인된 Office 365 크리덴셜 피싱 캠페인 표적 산업의 분포를 보여줍니다. 특히 항공사 면세점 로그인 크리덴셜이 표적이 되고 있으며 원형 그래프를 통해 주요 발생하는 분야는 여행 산업임을 알 수 있습니다.

클라우드 서비스 피싱

가장 많이 사용되는 클라우드 서비스에서 호스팅 되는 피싱 페이지 수도 소폭 증가했습니다. Azure, OneDrive, Box, Firebase, Box 및 Dropbox와 같은 서비스를 이용하여 피싱 페이지를 호스팅하는 사례가 계속되는 상황에서, 지난 달에는 특히 널리 사용되는 개인 메모장 앱인 Evernote에서 피싱 페이지가 호스팅 되는 사례가 발견되었습니다.

피싱 수법

공격자들은 탐지 솔루션을 피하기 위해 항상 새로운 수법을 시도합니다. 다음은 피싱에 많이 사용되는 것으로 확인된 몇 가지 대표적인 수법에 대한 자세한 설명입니다.

데이터 URL 사용/콘텐츠를 마스킹하기 위한 인코딩

특정 피싱 HTML 페이지 콘텐츠에 Data-URL을 사용한 사례

• 리모트 URL에 크리덴셜을 게시하는 실제 JavaScript 코드 숨기기
• 모든 커스텀 CSS/image를 해당 페이지 내에서 인코딩 및 임베드 실시

이러한 방식의 특징:

• 전체 피싱 페이지 콘텐츠를 단일 로딩으로 브라우저에서 렌더링할 수 있습니다.
• “Content-Encoding: gzip” 헤더를 추가함으로써 서버에서 컨텐츠를 압축하여 보낼 수 있습니다.
• 추가 리소스 요청(JavaScript, CSS, 이미지 등)이 없습니다.
• 이는 JavaScript 또는 CSS와 같은 리소스를 확인하기 위해 “Content-Type” 헤더를 사용하는 솔루션을 회피하기 위한 시도입니다.

다이나믹 콘텐츠 생성

O365 피싱 캠페인에서 매우 흥미로운 수법이 발견되었습니다. 이 수법은 URL에 사용자 이메일 주소를 추가하는 것으로 보입니다. 이어서 다음과 같이 피싱 페이지 경로가 동적으로 생성되며 사용자 이메일 주소가 자동으로 채워집니다.

피싱 방문 페이지의 경로가 동적으로 생성된다는 점을 고려할 때 경로 이름이 매우 길고 임의 문자가 사용됩니다. 다음 예와 같이 경로는 슬래시(/) 문자를 통해 두 부분으로 나뉩니다. 앞부분은 무작위로 생성된 폴더 이름이고 뒷부분은 무작위로 생성된 .php 파일입니다.

이러한 방식의 특징:

• • 일반적으로 피싱 키트의 개별 파일이 ZIP 파일로 번들링 된 후, 피싱 도메인 서버에 호스팅 됩니다.
  • 피싱 키트 서명은 ZIP 보관 파일에서 파일 패턴을 검색합니다(예: php).
  • 이러한 .php 파일의 동적 생성은 피싱 키트가 파일 이름/파일 경로 패턴을 사용하는 시그너쳐 탐지방식을 회피하기 위해 사용하는 메커니즘입니다.

피싱 페이지 실행을 위한 미끼 파일 다운로드

또 다른 일반적인 수법은 로컬 HTML/PDF 미끼 파일(decoy file)을 사용하여 피싱 콘텐츠를 로드하는 것입니다. 한국을 대표하는 웹 서비스 공급자인 Daum을 표적으로 하는 특정 사례의 경우 피싱 방문 페이지를 처음 방문하면 단말에 미끼 HTML 파일이 다운로드 됩니다. 이메일이 URL에 매개 변수로 추가되어 방문 시 단말로 즉시 다운로드 됩니다. 로컬 HTML 파일이 열리면 입력된 사용자 이름과 함께 실제 피싱 양식이 로드 됩니다. 이러한 미끼 파일로 피싱 양식을 로드하는 이유는 HTTP 응답 콘텐츠에 머신 러닝 또는 패턴 매칭을 사용하는 탐지 솔루션을 회피하기 위해서입니다.

이 방식의 특징:

• • • 미끼 파일을 사용하므로 서버에서 원격 콘텐츠를 가져오지 않고도 클라이언트 컴퓨터에 콘텐츠를 로드할 수 있습니다.
    • 콘텐츠가 로컬에서 로드 되므로 콘텐츠 검사 메커니즘을 우회합니다.
    • 로고 탐지 메커니즘을 사용하는 피싱 솔루션도 우회합니다.

브랜드 로고의 동적 로딩

피싱 페이지는 Clearbit과 같은 API를 사용하여 일반 Microsoft/Outlook 로고가 아닌 회사별 로고를 동적으로 로드하는 경우가 자주 있습니다. 이러한 경우 피싱 페이지는 Clearbit Logo API를 사용하여 회사별 로고를 검색합니다. 로고를 찾지 못하면 일반 Microsoft 또는 Office 로고를 사용합니다.

이 방식의 특징:

• 공격자가 원래 사이트(예: microsoft.com 또는 paypal.com)로 API 호출을 수행하지 않고도 브랜드 로고를 동적으로 가장할 수 있습니다.

결론

사이버 공격자들은 민감한 정보를 훔치기 위해 더욱 복잡한 방법으로 피싱 캠페인을 시도하고 있습니다. 공격자들은Let’s Encrypt와 같은 무료 서비스를 이용 하면서 피싱 사이트를 점점 더 쉽게 호스팅하고 있으며, 적중률을 높이기 위해 상대적으로 짧은 TTL과 SSL을 사용하고 있습니다. 크리덴셜 피싱 공격의 영향을 줄이기 위해서는 훈련 및 교육을 통해 사이버 보안 인식을 높이는 것도 중요하지만, 특히 기업 사용자들은 개인정보나 민감한 정보를 요청하는 사이트에 대해서 항상 주의해야 합니다.