HEAT 공격: 정적 및 동적 콘텐츠 검사 회피

사람들이 일하고 협업하는 방식과 관련하여, 신종 코로나바이러스 전염병은 역사상 가장 빠른 전환을 가져왔습니다. 이전에는 이렇게 많은 사람들이 그렇게 빨리 이동한 적이 없었습니다. 그리고 이러한 변화는 클라우드 서비스에 대한 수요를 극적으로 끌어올리고 클라우드 애플리케이션의 채택과 디지털 혁신 노력을 10년 앞당겼습니다.

다음을 고려하십시오. Google의 의뢰로 Forrester Consulting에서 실시한 설문 조사에 따르면 직원은 근무 시간의 75%를 주로 웹 브라우저에서 온라인으로 보내는 것으로 나타났습니다. 또한 SaaS 애플리케이션은 조직의 99% 내에서 사용되고 있습니다. 물론 이를 증명하기 위해 통계가 필요하지는 않습니다. 우리가 일상 생활에서 볼 수 있듯이 웹 브라우저는 본질적으로 새로운 사무실 공간입니다.

사이버 범죄자들도 이러한 경향을 인지했으며 이에 따라 공격을 진화시키고 있습니다. HEAT(Highly Evasive Adaptive Threats)에 대한 이 시리즈에서 강조하는 것처럼 범죄자들은 ​​새로운 방식으로 브라우저에 침투하도록 공격을 수정하고 기존 공격에 대해 새로운 방식을 채택하여 탐지를 방지합니다. 클라우드의 추세는 비즈니스 기술을 10년 앞당겼을 뿐만 아니라 이러한 추세로 인해 많은 기존 보안 방어 체계가 같은 10년 동안 뒤쳐지게 되었습니다.

기업 보안 전문가가 이러한 공격에 적응하지 않고 기업을 보호하기로 선택하지 않으면 방어가 매우 취약하다는 것을 알게 될 것입니다. 사이버 범죄자들은 ​​웹 브라우저에 HEAT를 가져오고 있으며 이러한 HEAT 공격은 현재 모든 형태의 맬웨어를 전달하고 기업 공격을 수행하는 데 사용됩니다. 그리고 곧 쿨다운의 조짐은 없습니다.

4가지 핵심 HEAT 특성 중 하나를 살펴보겠습니다. 특히 이러한 공격이 정적 및 동적 콘텐츠 검사를 모두 회피할 수 있는 방법.

HTML smuggling 살펴보기

HTML smuggling은 사이버 범죄자가 정적 및 동적 콘텐츠 검사 기술을 회피하고 악성 페이로드를 엔드포인트에 전달하는 데 사용하는 기술 중 하나입니다. HTML smuggling 공격에서 공격자는 JavaScript BLOB(Binary Large Object) 요소를 만들고 콘텐츠로 동적으로 채웁니다. Menlo Labs가 목격한 공격에서 악성코드를 생성하는 데 사용된 콘텐츠는 사용자가 요청한 HTML 페이지 내에 인코딩되었습니다. 콘텐츠는 웹 페이지 내의 요소에서 동적으로 생성되기 때문에 파일 요청은 인터넷을 통해 전송되지 않습니다.

즉, 멀웨어가 Secure Web Gateway 또는 샌드박스와 같은 네트워크 보안 어플라이언스에서 검사를 받을 이유가 없습니다.

흥미롭게도 이 공격 기술은 일반적으로 소프트웨어 취약점이나 설계 결함으로 간주되는 것을 이용하지 않습니다. 대신 이 방법은 최신 브라우저가 작동하는 방식과 개발자가 일반적으로 다운로드 속도를 최적화하고 사용자 웹 경험을 개선하는 데 사용하는 기술을 활용합니다.

사용자들이 브라우저에서 작업하는 데 훨씬 더 많은 시간을 보내, 현실 세계에서 점점 더 많이 일어나고 있습니다.

HTML smuggling 실제 예시

Menlo Labs 연구팀은 HTML smuggling과 관련된 여러 캠페인을 확인했습니다. 그러한 사건 중 하나는 최근의 ISOMorph HTML smuggling 캠페인입니다. 2021년 여름에 확인된 이 캠페인은 위에서 설명한 HTML smuggling 기술을 활용했습니다. 맬웨어의 여러 섹션이 브라우저에 독립적으로 다운로드된 다음 엔드포인트의 웹 페이지 렌더링 내에서 조립되었습니다. BLOB 요소는 특정 사용자 작업 없이 웹 페이지에 액세스하는 순간 사용자의 끝점에 다운로드되는 악성 .iso 파일을 만드는 데 사용되었습니다.

이 ISOMorph 공격은 위협 행위자 NOBELIUM(SolarWinds 공격의 배후에 있는 것으로 생각되는 그룹)이 운영하는 공격을 포함하여 이 기술을 사용한 다른 캠페인을 따랐습니다. Microsoft는 이 기술이 뱅킹 트로이 목마 Mekotio, AsyncRAT/NJRAT 및 TrickBot을 전달하는 데 사용되는 것을 관찰했다고 밝혔습니다. 공격자가 대상 엔드포인트에 대한 제어를 명령하고 랜섬웨어 및 기타 위협을 배포하는 데 사용하는 멀웨어입니다.

공격자는 ISOMorph를 사용하여 인기 있는 통신 플랫폼인 Discord와 약 3억 명의 등록 사용자를 표적으로 삼았습니다. Menlo Labs는 AsyncRAT로 알려진 원격 액세스 트로이 목마(RAT)를 호스팅하기 위해 Discord를 사용하는 악의적인 행위자를 목격했습니다. AsyncRAT는 탐지를 회피하고, 암호를 기록하고, 데이터를 추출하기 위해 여러 가지 방법을 사용합니다.

기존 보안 소프트웨어가 HTML Smuggler을 포착하지 못하는 이유

공격자들은 점점 더 HTML smuggling 및 기타 HEAT 전술로 눈을 돌리고 있습니다. 보안 웹 게이트웨이, 맬웨어 방지 및 샌드박싱 기능, 네트워크 및 HTTP 검사와 같은 일반적인 방어를 우회하여 최종 사용자의 브라우저에 성공적으로 접근하기 때문입니다. 악성 링크 분석, 오프라인 도메인 분석 및 위협 인텔리전스 피드. HEAT 스타일의 공격은 매우 성공적이기 때문에 기업의 보안 투자에 상당한 차질이 생겼습니다.

이러한 공격 기술이 새로운 것은 아니지만 위협 행위자는 이러한 공격 전술을 사용하고 적용 범위를 확장하는 데 점점 더 능숙해지고 있습니다. 결국, 엔진에서 분석할 수 없는 너무 큰 파일을 전송하거나, 파일을 암호로 “보호”하거나, 암호화하는 것과 같이 얼마 동안은 Secure Web Gateway를 성공적으로 우회할 수 있었습니다. 그러나 HTML smuggling에서는 분석할 파일이 없습니다.

HTML smuggling은 기업 보안 팀이 이메일, 네트워크 및 기타 전통적인 공격 벡터에서 관심을 전환하고 웹 브라우저 내에서 공격자가 하는 일에 훨씬 더 주의를 기울여야 하는 이유의 또 다른 예입니다. 그리고 보안 팀은 적절한 수준의 방어를 갖추고 있는지 확인해야 합니다.

우리는 공격자가 한동안 웹 브라우저에 계속 HEAT를 가져올 것으로 예상합니다. 결국, 클라우드로의 이동과 디지털 혁신은 사라지지 않습니다. 현대 비즈니스가 성공할 수 있는 엄청난 기회를 제공하기 때문입니다. 불행히도 나쁜 행위자는 이러한 추세를 악용하는 방법에 더 집중할 것입니다.