Declared an innovator and leader for Secure Web Gateways (SWG) by Frost and Sullivan
Most Searched
기존 보안 접근 방식은 보안 팀 내부에 계속적으로 결함이 발생되고 이에 대한 막대한 비용이 많이 발생합니다. 멘로시큐리티는 다름을 제안합니다. 작업을 보호하는 가장 간단하고 확실한 방법은 온라인 위협을 사용자 및 비즈니스와 연결시키지않고 격리하는 것입니다.
eBook
Our platform invisibly protects users wherever they go online. So threats are history and the alert storm is over.
Data Sheet
Traditional network security wasn’t built to address today’s complex enterprise environments. SASE fixes that problem
Solution Brief
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise. The collective is made up of elite security researchers that put a spotlight on the threats you know and don’t know about.
Live Webinars
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise.
Mark Guntrip | Aug 31, 2022
Share this article
악명 높은 은행 강도 윌리 서튼(Willie Sutton)은 종종 “돈이 있는 곳”이기 때문에 은행을 털었다고 언급합니다. 자주 인용되는 인용구는 거짓이지만 사실이기도 합니다. 은행은 돈이 있는 곳이기 때문에 강도를 당합니다. 이 사실은 디지털 경제에도 적용됩니다. 사이버 공격자는 사람과 데이터가 있는 시스템을 목표로 합니다.
공격자와 기업 방어자 모두가 당면한 과제는 사람과 데이터가 상주하는 위치도 변하고 있다는 사실입니다. 공격자가 공격 대상의 네트워크, 엔드포인트 또는 서버 운영 체제와 설치된 응용 프로그램에 공격을 집중하던 때가 있었습니다. 그들은 여전히 그렇지만 엔터프라이즈 개인 데이터 센터가 사라지면서 대부분의 작업은 온라인으로 이루어지며 위협 행위자는 웹 브라우저를 점점 더 표적으로 삼고 있습니다. 일부 추정치에 따르면 근로자는 하루 중 75%를 웹 브라우저에서 작업하고 생산적으로 보냅니다. 사람과 데이터(일명 돈)가 있는 곳입니다.
HEAT(Highly Evasive Adaptive Threats)에 대한 이 시리즈에서는 공격자가 정적 및 동적 콘텐츠 검사, 악성 링크 분석, 오프라인 분류 및 위협 탐지를 회피하는 기술을 사용하는 방법을 자세히 설명했습니다. HEAT 공격이 증가하고 있으며 온프레미스 네트워크 및 사설 데이터 센터 시대를 위해 설계된 레거시 보안 방어에 의존하는 기업은 피해를 입게 될 것입니다.
멘로는 위협 행위자가 HTTP 트래픽 검사를 피하기 위해 공격을 만드는 방법을 조사합니다. 이러한 공격에서 위협 행위자는 HTTP 트래픽이 검사 엔진을 통과한 후 JavaScript를 사용하여 악성 콘텐츠를 동적으로 생성합니다. 이 콘텐츠는 엔드포인트의 웹 브라우저 내에서 생성됩니다. 이러한 이미지가 렌더링되거나 코드가 로컬 JavaScript 엔진 내에서 실행되기 때문에 이러한 공격은 공격 코드가 엔드포인트에 도달하기 전에 발생한 보안 검사를 우회합니다.
이러한 공격 기술의 세부 사항을 살펴보기 전에 기존 HTTP 트래픽 검사가 어떻게 작동하는지 살펴보는 것이 좋습니다. HTTP 트래픽 검사를 통해 HTTP 스트림에 위협이 있는지 분석됩니다. HTTP 분석 엔진은 맬웨어, 악성 콘텐츠, 피싱 키트의 일반적인 서명, 브랜드 사칭 이미지 등과 같이 브라우저에 들어오는 익스플로잇을 찾습니다. 물론 공격자는 이러한 유형의 탐지를 회피하려고 시도할 것이며 확실히 그렇게 할 수 있는 방법이 있습니다.
HTTP 트래픽 검사를 회피하는 가장 일반적인 방법 중 하나는 난독화된 JavaScript를 사용하여 보안 방어를 유발할 수 있는 모든 것을 숨기는 것입니다. 이를 위해 공격자는 브라우저의 JavaScript 엔진 내에서 동적으로 조립된 악성 페이로드를 보유합니다. 이런 식으로 서명 기반 HTTP 트래픽 검사 기술은 공격이 엔드포인트로 향할 때 공격을 놓치게 됩니다. 이러한 공격의 실행은 사용자가 자신이 진짜라고 생각하도록 속이는 정교한 피싱 페이지에서 시작되는 경우가 많습니다. 공격자는 탐지에 기반한 JavaScript 서명을 피하기 위해 난독화되거나 동적으로 생성된 익스플로잇 코드를 사용합니다. 또한 시각적 감지를 피하기 위해 창의적인 CSS 조작을 사용하고 무해해 보이는 이미지를 피싱 목적으로 알려진 브랜드를 사칭하는 이미지로 변환할 수 있습니다. 이 모든 것은 브라우저 수준에서 최종 사용자의 눈 앞에서 발생하며 그 이전의 검사 지점을 피합니다.
HEAT 공격에 대한 최근 특집 기사에서 다루었듯이 공격자들은 JavaScript가 매우 유명하기 때문에 JavaScript를 사용합니다. 최근 HP Threat Research 팀에서 수행한 분석에 따르면 이러한 숨겨진 JavaScript 기술이 최근 엔드포인트에 원격 액세스 트로이 목마를 삽입하여 최종 사용자 장치를 지휘하고 중요한 데이터를 훔치는 데 사용된 것으로 나타났습니다. 이 공격에서 공격자는 거의 탐지되지 않는 JavaScript 첨부 파일을 사용하는 JavaScript 로더인 RATDispenser를 사용했습니다.
HTTP 검사를 회피하도록 설계된 이러한 난독화 기술은 네트워크 트래픽에서 발생하는 기존 HTTP 트래픽 검사로 식별할 수 없습니다. 이러한 공격은 해당 보안 제어를 성공적으로 우회하고 끝점에서 실행됩니다. 이러한 종류의 공격을 포착하기 위해 기업은 JavaScript 엔진의 실행을 살펴보고 엔드포인트의 활동을 기반으로 악의적인 행동을 식별하여 공격이 완전히 실행되기 전에 식별 및 차단할 수 있도록 해야 합니다.
이러한 공격을 통해 가장 잘 작동하는 보안은 사용자와 가깝고 코드가 실행되고 데이터가 조작되는 곳입니다. 그것은 웹 브라우저 안에 있습니다. 이는 허용 가능한 사용 정책 시행에 중점을 두고 서명을 사용하여 멀웨어를 식별하고 웹 브라우저 및 애플리케이션 내에서 특정 활동을 평가하지 않는 웹 보안 플랫폼과 같이 일반적으로 구현된 것과는 다른 전략입니다.
Posted by Mark Guntrip on Aug 31, 2022
Tagged with SWG, Web Security, Zero Trust
Threat Research
궁금하신 내용이 있거나 비즈니스 상담을 원하시는 경우 양식을 제출하여 멘로 시큐리티 전문가에게 상담받으세요.
