사람들이 일하고 협업하는 방식에 있어 신종 코로나바이러스 팬데믹은 역사상 가장 빠른 변화를 일으켰습니다.이렇게 많은 사람들이 이렇게 빠르게 변한 적은 없었습니다.그리고 이러한 변화로 인해 클라우드 서비스에 대한 수요가 급격히 증가했고 클라우드 애플리케이션의 채택과 디지털 혁신 노력이 10년 앞당겨졌습니다.
다음과 같이 생각해 보십시오. 설문조사 Google의 의뢰로 Forrester Consulting이 실시한 결과 직원들은 근무 시간의 75% 를 주로 웹 브라우저를 사용하여 온라인으로 보내는 것으로 나타났습니다.또한 조직의 99% 에서 SaaS 애플리케이션을 사용하고 있습니다.물론 일상 생활에서 흔히 볼 수 있는 통계가 이를 증명할 필요는 없습니다. 웹 브라우저는 근본적으로 새로운 사무실 공간입니다.
현대 조직에서 웹 브라우저는 크게 발전하여 이제는 중요한 비즈니스 애플리케이션에 액세스하고 직원 간의 협업과 커뮤니케이션을 촉진하는 데 필수적인 도구로 사용됩니다.인터넷 탐색을 위한 기본 인터페이스만 제공하던 초기 웹 브라우저와 크게 달라진 것처럼 네트워크 및 엔드포인트 보안 도구도 이에 상응하는 발전을 이루지 못했습니다.오늘날 많은 조직에서 샌드박스, SWG (Secure Web Gateway), 방화벽과 같은 오래된 보안 기술에 계속 의존하고 있습니다.이러한 솔루션은 주로 네트워크와 엔드포인트를 보호하기 위한 것이었지만 최신 웹 브라우저 내에서의 활동을 면밀히 조사하는 기능은 부족합니다.그 결과 적절한 보안 솔루션을 제공하지 못해 웹 브라우저가 잠재적 위협에 취약해집니다.사이버 범죄자들은 웹 보안이 취약한 부분을 알아차리고 이에 따라 공격을 발전시켜 악용하고 있습니다.사이버 범죄자들은 새로운 방식으로 브라우저에 침투하도록 공격을 수정하고 기존 공격에 새로운 방법을 적용하여 탐지를 방지합니다.클라우드 트렌드로 인해 비즈니스 기술이 10년 가속화되었을 뿐만 아니라, 이러한 추세로 인해 기존의 많은 보안 방어 방식도 10년이나 뒤쳐지고 있습니다.
엔터프라이즈 보안 전문가가 적응하지 않고 이러한 상황으로부터 기업을 보호하기로 선택한 경우 고도로 회피적인 적응형 위협 (HEAT), 그들은 자신들이 비참하게 방어력이 부족하다는 것을 알게 될 것입니다.이러한 HEAT 공격은 현재 랜섬웨어를 포함한 모든 형태의 멀웨어를 전달하고 기업 공격을 수행하는 데 사용되고 있습니다.그리고 조만간 둔화될 조짐은 없습니다.
HEAT의 네 가지 핵심 특성 중 하나를 살펴보겠습니다. 특히 이러한 공격이 파일 기반 검사를 회피할 수 있는 방법을 살펴보겠습니다.
한 번 보세요 HTML 스머글링
HTML 밀수는 사이버 범죄자들이 파일 기반 검사 기술을 회피하고 엔드포인트에 악성 페이로드를 전달하는 데 사용하는 기술 중 하나입니다.HTML 밀수 공격에서 공격자는 JavaScript BLOB (바이너리 대형 객체) 요소를 만들고 이를 동적으로 콘텐츠로 채웁니다.Menlo Labs에서 목격한 공격에서는 멀웨어를 만드는 데 사용된 콘텐츠가 사용자가 요청한 HTML 페이지 내에 인코딩되었습니다.콘텐츠는 웹 페이지 내 요소에서 동적으로 생성되기 때문에 인터넷을 통해 파일 요청이 전송되지 않습니다.
즉, SWG나 샌드박스와 같은 네트워크 보안 어플라이언스에서 멀웨어를 검사할 이유가 없습니다.
흥미롭게도 이 공격 기법은 일반적으로 소프트웨어 취약점이나 설계 결함으로 간주되는 것을 악용하지 않습니다. 대신 이 방법은 최신 브라우저의 작동 방식과 개발자가 다운로드 속도를 최적화하고 사용자 웹 경험을 개선하기 위해 일반적으로 사용하는 기술을 악용하고 있습니다.
이러한 공격은 단순히 가상의 공격이 아니라 사람들이 브라우저에서 작업하는 데 훨씬 더 많은 시간을 소비하기 때문에 현실 세계에서 점점 더 많이 발생하고 있습니다.
현실 세계 HTML 밀수의 예
멘로 연구소 연구팀은 HTML 밀수와 관련된 여러 캠페인을 확인했습니다..그러한 사건 중 하나가 최근의 사건입니다. 아이소모프 HTML 밀수 캠페인.2021년 여름에 확인된 이 캠페인은 위에서 설명한 HTML 밀수 기술을 활용했습니다.멀웨어의 여러 섹션이 브라우저에 독립적으로 다운로드된 후 엔드포인트의 웹 페이지 렌더링 과정에서 조합되었습니다.BLOB 요소를 사용하여 악의적인.iso 파일을 만들었습니다. 이 파일은 특정 사용자 작업 없이 웹 페이지에 액세스하는 즉시 사용자의 엔드포인트에 다운로드되었습니다.
이 IsoMorph 공격은 위협 행위자 NOBELIUM (SolarWinds 공격의 배후로 추정되는 그룹) 이 운영하는 공격을 포함하여 이 기법을 사용한 다른 캠페인에 이어 나온 것입니다. 마이크로소프트 이 기술이 뱅킹 트로얀 메코티오, Asyncrat/NJRAT 및 TrickBot을 제공하는 데 사용되는 것을 관찰했다고 말합니다.이 멀웨어는 공격자가 표적 엔드포인트를 제어하고 랜섬웨어와 기타 위협을 유포하는 데 사용하는 멀웨어입니다.
공격자들은 IsoMorph를 사용하여 인기 있는 커뮤니케이션 플랫폼인 Discord와 약 3억 명의 등록 사용자를 표적으로 삼았습니다.멘로 랩스는 악의적인 공격자들이 디스코드를 이용해 AsyncRat으로 알려진 원격 액세스 트로이 목마 (RAT) 를 호스팅하는 것을 목격했습니다.AsyncRAT는 탐지를 피하고, 암호를 기록하고, 데이터를 유출하기 위해 다양한 방법을 사용합니다.
기존 보안 소프트웨어가 HTML 밀수업자를 잡지 못하는 이유
공격자들은 SWG, 맬웨어 방지 및 샌드박싱 기능, 네트워크 및 HTTP 검사, 악성 링크 분석, 오프라인 도메인 분석, 위협 인텔리전스 피드와 같은 일반적인 방어 수단을 우회하여 최종 사용자의 브라우저에 성공적으로 접근하기 때문에 HTML 밀수 및 기타 HEAT 전략으로 눈을 돌리고 있습니다.HEAT 공격은 매우 성공적이었기 때문에 기업의 보안 투자에 크게 뒤쳐졌습니다.
이러한 공격 기법이 새로운 것은 아니지만 위협 행위자들은 이러한 공격 기법을 더 잘 활용하고 채택을 확대하고 있습니다.결국 한동안 SWG를 성공적으로 우회할 수 있었습니다. 예를 들어 엔진으로 분석하기에는 너무 큰 파일을 전송하거나, 암호로 파일을 “보호”하거나, 암호화하는 방법이 있습니다.하지만 HTML 밀수의 경우 분석할 파일이 없습니다.
HTML 밀수는 기업 보안 팀이 이메일, 네트워크 및 기타 전통적인 공격 경로에 관심을 돌리고 공격자가 웹 브라우저 내에서 수행하는 활동에 훨씬 더 주의를 기울여야 하는 이유를 보여주는 또 다른 예입니다.또한 보안 팀은 적절한 수준의 방어 체계를 갖추고 있는지 확인해야 합니다.브라우저 내에서 향상된 가시성을 제공하고 의심스러운 행동에 대한 실시간 보호 기능을 제공하는 보안 기술은 이러한 회피적 웹 위협을 방지하는 데 매우 중요합니다.