뉴스:
멘로 시큐리티, 구글과 전략적 파트너십 발표
__wf_예약_상속

HEAT 공격: 이메일 보안 도구 회피

Mark Guntrip
|
February 13, 2022
__wf_예약_상속

사람들은 그 어느 때보다 재택근무를 많이 하고 있습니다. 팬데믹이 지나간 후에도 재택근무는 오래 지속될 것입니다.이에 따르면 머서 스터디, 응답 기업의 70% 는 하이브리드 오피스/원격 근무 모델을 채택할 것이라고 답했습니다.이러한 회사들이 그렇게 하는 데에는 그럴만한 이유가 있습니다.근로자의 약 60% 가 이 FlexJobs에 대해 응답했습니다. 설문 조사 원격 근무를 계속할 수 없다면 반드시 새로운 직장을 찾으러 갈 것이라고 말했습니다.

이는 기업 사이버 보안에 어떤 영향을 미칠까요?즉, 공격자는 원격 직원이 주로 집중하고 작업하는 곳, 즉 웹 브라우저에 초점을 맞출 것입니다.웹 브라우저는 웹 사이트를 탐색하기 위한 단순한 인터페이스에서 작업자들이 협업하고 비즈니스 크리티컬 앱에 액세스할 때 사용하는 정교한 생산성 도구로 발전했지만 웹 보안은 거의 동일하게 유지되었습니다.대부분의 공격이 이메일이나 물리적 미디어 (예: 플로피 디스크 또는 USB 썸 드라이브) 를 통해 전달되던 시대에 맞게 설계된 보안 웹 게이트웨이 (SWG), 방화벽 및 샌드박스와 같이 많은 조직에서 사용하는 탐지 기반 네트워크 및 엔드포인트 보안 도구는 빠르게 시대에 뒤쳐지고 있습니다.

사이버 공격자들은 전체 사이버 공격의 90% 이상에 관여하는 자격 증명 피싱 공격을 통해 이러한 보안 결함을 악용하고 있으며, 이러한 공격은 다음과 같은 고도로 회피적인 적응형 위협 (HEAT) 기술을 활용합니다. 레거시 URL 평판 회피 (루어), 기존 보안 기술을 우회하기 위해서입니다.피싱 공격의 경우 위협 행위자는 악의적인 URL 링크 분석 엔진을 회피하기 위해 최선을 다합니다. 이 분석 엔진은 전통적으로 이메일에 구현되어 사용자가 확인하기도 전에 링크를 분석합니다.공격자들의 전략은 성공으로 증명되고 있습니다. 멘로 랩스 연구팀은 2021년 하반기에 HEAT 공격이 224% 증가한 것을 관찰했습니다. 대부분의 경우 이러한 공격은 랜섬웨어로 이어졌습니다.

일반적으로 피싱 공격에는 사용자가 평판이 좋은 사람이나 회사와 상호 작용하고 있다고 생각하도록 속이는 기만적인 커뮤니케이션이 포함됩니다.지금까지 피싱 공격은 이메일을 통해 전달되었습니다.이러한 이메일은 일반적으로 일반적인 소셜 엔지니어링 기법을 활용하여 사용자를 속여 악성 링크를 클릭하도록 유도하고, 피해자가 커뮤니케이션에서 사칭한 브랜드나 사람에 대한 신뢰를 악용합니다.스피어 피싱 공격의 경우, 공격자는 표적이 된 피해자를 조사하고 그들이 좋아하는 것, 욕망 및 삶의 다른 측면을 파악하여 대상을 유인하거나 안주하게 만드는 데 사용할 수 있습니다.

이제 위협 행위자들은 이메일 피싱의 영역 밖에서 이러한 접근 방식을 취하는 경우가 점점 더 많아지고 있습니다.HEAT 공격의 경우 사용자는 소셜 미디어 및 전문 웹 네트워크, 협업 애플리케이션, SMS, 공유 문서, 공유 폴더 등과 같은 이메일 이외의 통신 채널을 통해 악성 링크의 표적이 되거나 공격 대상이 됩니다.기업 보안을 우회하고 기업 엔드포인트에 멀웨어를 전달하기 위해 개인 자격 증명 대신 기업 자격 증명을 도용하는 데 이러한 악성 링크가 점점 더 많이 사용되고 있습니다.

에스컬레이션과 전술 게임

공격자들이 당면한 과제는 기업이 이메일 보안을 지속적으로 개선하고 이러한 채널에서 멀웨어와 악성 링크를 적극적으로 검사한다는 것입니다.또한 비즈니스에 정통한 사용자와 직원 (보안 인식 교육을 통해 자신이 공격 대상이라는 것을 알게 됨) 은 자신의 안전이 확실하지 않을 때 이메일을 클릭할 때 더욱 주의를 기울입니다.네, 사람들은 여전히 실수를 합니다.그리고 네, 많은 직원들이 여전히 어떤 링크를 클릭하는지 조심하지 않아 스스로 곤경에 빠지기도 합니다.하지만 점점 더 많은 사람들이 주의를 기울이고 있습니다. 특히 더 정교하고, 적절하게 훈련되고, 의식이 있는 사용자가 많아지고 있습니다.

사람들은 소셜 미디어 연락처를 더 신뢰하는 경향이 있기 때문에 공격자들이 소셜 미디어 연락처에 몰려 들었습니다. 그래서 연방 거래위원회 (Federal Trade Commission) 는 다음과 같은 경고를 발표했습니다. 소셜 미디어에서 시작된 사기가 2020년 초에 급증했습니다..또한 사용자들은 읽거나 볼 만한 업무 관련 콘텐츠뿐만 아니라 업계 컨퍼런스, 채용 정보 등에 관한 정보를 찾으면서 이러한 플랫폼을 적극적으로 이용하고 있습니다.클릭이 활발하기 때문에 클릭하지 말아야 할 콘텐츠를 클릭할 가능성이 커집니다.

에서 다룬 바와 같이 처리하기에는 너무 뜨거워요: 현대 업무가 HEAT 공격을 일으킨 이유 최근의 공격 캠페인은 공격자들이 LinkedIn의 메시징 기능과 함께 스피어 피싱을 활용하는 것으로 구성되었습니다.이러한 공격자들은 공격자가 표적의 컴퓨터나 기기를 완벽하게 제어할 수 있게 해주는 멀웨어로 엔드포인트를 손상시키도록 설계된 악성 링크라는 가짜 취업 기회를 잡았습니다.공격자들은 사용자가 신뢰하는 브랜드의 사칭 웹사이트를 이용하는 경우가 점점 더 많아지고 있습니다.

이러한 공격은 기존의 이메일 보안 방어를 모두 우회하여 웹 브라우저를 공격했습니다. 기업들이 이미 갖추고 있는 것이죠.

기존의 악성 링크 분석 회피

이는 위협 행위자가 조직에 대한 HEAT 공격을 활용하는 또 다른 방법입니다.이들은 이메일을 보호하기 위해 일반적으로 배포되는 악성 링크 분석 엔진을 회피하고 있습니다. 이러한 엔진은 이메일을 사람들에게 전달하기 전에 모든 링크를 분석하여 이메일을 보호합니다.링크 분석 엔진을 우회하도록 설계된 HEAT 공격의 경우 사용자는 소셜 미디어 사이트 및 메시징 플랫폼과 같은 다른 통신 영역의 표적이 됩니다. 디스코드와 같은 커뮤니케이션 플랫폼 또는 슬랙, SMS 등을 이용할 수 있습니다.이러한 링크를 클릭하면 일반적인 이메일 피싱 공격에 사용되는 링크와 같습니다. 즉, 로그인 자격 증명을 도용하거나 멀웨어를 유포하도록 설계되었습니다.

또한 공격자는 LinkedIn에 있는 정보와 사용자가 Facebook 또는 Twitter에 게시한 내용을 사용하여 표적이 된 피해자와 연결하고 시간이 지남에 따라 관계를 구축하는 데 사용할 수 있는 특별한 지식을 얻을 수 있습니다.이러한 공격은 빠르고 개인화할 수 있기 때문에 효과적입니다. 겉보기에는 사용자와 더 밀접하게 연결되어 있는 것처럼 보입니다.

위협 행위자는 다음과 같이 HEAT 공격을 전략적으로 결합할 수도 있습니다. HTML 스머글링 당사에서 자세히 설명한 공격 기사 공격자가 파일 기반 검사를 회피하는 방법에 대해 설명합니다.디지털 약탈자는 이러한 HEAT 전술을 결합하여 기존의 보안 제어 및 다음과 같은 기술을 성공적으로 우회할 확률을 높입니다. SWG 및 이메일 모니터링 엔진.

현재로서는 이메일이 주요 공격 벡터로 남아 있지만, 악성 링크 분석과 같은 기존 방어 수단을 우회하도록 설계된 이러한 HEAT 공격은 증가하고 있습니다.우회적 공격을 방지할 수 있는 가시성이 부족한 보안 팀은 이러한 증가하는 위협을 계속 놓칠 수 있습니다.HEAT 공격에 대응하기 위해 향상된 브라우저 가시성과 동적 보안 제어를 제공하는 기술을 고려하면 보안팀이 의심스러운 행동과 악성 웹 사이트 의도를 실시간으로 탐지하고 차단할 수 있습니다.이러한 핵심 요소를 해결하면 조직은 기존 보안 솔루션을 넘어서는 점점 더 많아지는 HEAT 공격을 방지할 수 있습니다.

블로그 카테고리
태그가 지정되었습니다
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속