HEAT 공격: HTTP 콘텐츠/페이지 검사 회피

악명 높은 은행 강도인 윌리 서튼 (Willie Sutton) 은 종종 (정확하지 않게) 자신이 은행을 털었기 때문에 “돈이 있는 곳이야.” 라고 말했다고 합니다.자주 인용되는 이 전설은 거짓이긴 하지만 사실이기도 합니다. 은행이 도둑을 당하는 이유는 돈이 있는 곳이기 때문입니다.이 진실은 디지털 경제에도 적용됩니다.사이버 공격자는 사람과 데이터가 있는 시스템을 표적으로 삼습니다.

공격자와 기업 방어자 모두가 당면한 과제는 사람과 데이터가 있는 위치도 변하고 있다는 사실입니다.웹 브라우저의 공격 범위가 제한되어 공격자가 대상 네트워크, 엔드포인트 또는 서버 운영 체제는 물론 설치된 애플리케이션에 공격 익스플로잇을 집중하던 시기가 있었습니다.여전히 그렇습니다. 하지만 기업 사설 데이터 센터가 사라지고 대부분의 작업이 온라인으로 진행됨에 따라 위협 행위자들은 방화벽, 샌드박스, SWG (Secure Web Gateways), 엔드포인트 탐지 및 대응 플랫폼과 같은 기존의 엔드포인트 및 네트워크 보안 기술을 회피하기 위해 웹 브라우저를 표적으로 삼는 경우가 점점 더 많아지고 있습니다.일부 추정에 따르면 근로자는 하루 중 75% 를 웹 브라우저에서 일하고 생산성을 높이는 데 보냅니다.바로 여기에 사람과 데이터, 일명 돈이 있습니다.

최근에 공격자들이 고도로 회피적인 적응형 위협 (HEAT) 기술을 활용하여 파일 기반 검사, 이메일 보안 도구 등을 회피하는 방법에 대해 자세히 설명했습니다. URL 필터링.HEAT 공격은 갈수록 증가하고 있으며, 온프레미스 네트워크와 프라이빗 데이터 센터 시대에 맞게 설계된 레거시 보안 방어에 의존하는 기업은 피해를 입게 될 것입니다.

이 게시물에서는 위협 행위자가 HTTP 콘텐츠 검사를 회피하기 위해 공격을 어떻게 조작하는지 살펴봅니다.이러한 공격에서 위협 행위자는 HTTP 콘텐츠가 검사 엔진을 통과한 후 JavaScript를 사용하여 악성 콘텐츠를 동적으로 생성합니다.이 콘텐츠는 엔드포인트의 웹 브라우저 내에서 생성됩니다.이러한 이미지는 로컬 JavaScript 엔진 내에서 렌더링되거나 코드가 실행되기 때문에 이러한 공격은 공격 코드가 엔드포인트에 도달하기 전에 발생한 보안 검사를 우회합니다.

이러한 공격 기법을 자세히 살펴보기 전에 기존 HTTP 콘텐츠 검사가 어떻게 작동하는지 살펴보는 것이 좋습니다.HTTP 콘텐츠 검사를 통해 HTTP 스트림의 위협을 분석합니다.HTTP 분석 엔진은 멀웨어, 악성 콘텐츠, 피싱 키트의 전형적인 시그니처, 브랜드를 가장한 이미지 등과 같이 브라우저에 들어오는 익스플로잇을 찾습니다.물론 공격자는 이러한 유형의 탐지를 회피하려고 시도할 것이며, 공격자는 분명 그렇게 할 수 있는 방법이 있습니다.

HTTP 콘텐츠 검사를 피하는 가장 일반적인 방법 중 하나는 난독화된 JavaScript를 활용하여 보안 방어를 트리거할 수 있는 모든 것을 숨기는 것입니다.이를 위해 공격자는 브라우저의 JavaScript 엔진 내에서 악성 페이로드를 동적으로 조합합니다.이렇게 하면 시그니처 기반 HTTP 콘텐츠 검사 기술이 엔드포인트로 향하는 공격을 놓칠 수 있습니다.이러한 공격은 사용자가 진짜인 것처럼 착각하도록 속이는 정교한 피싱 페이지에서 시작되는 경우가 많습니다.공격자는 탐지에 기반한 JavaScript 서명을 피하기 위해 난독화되거나 동적으로 생성되는 익스플로잇 코드를 사용합니다.또한 이들은 창의적인 CSS 조작을 사용하여 시각적 탐지를 피하고, 무해해 보이는 이미지를 피싱 목적으로 알려진 브랜드를 가장하는 이미지로 전환할 수 있습니다.이 모든 작업은 브라우저 수준에서 최종 사용자의 눈 앞에서 이루어지므로, 그 전에 어떤 검사도 할 필요가 없습니다.

HEAT 공격에 관한 최근 특집 기사에서 다룬 것처럼, 공격자들은 자바스크립트가 너무 유명하기 때문에 이를 사용합니다.HP 위협 연구팀이 최근 실시한 분석에 따르면 이러한 숨겨진 JavaScript 기술이 최근 엔드포인트에 원격 액세스 트로이 목마를 삽입하여 최종 사용자 장치를 지휘하고 민감한 데이터를 훔치는 데 사용되었습니다.이 공격에서 위협 행위자들은 거의 탐지되지 않는 자바스크립트 첨부 파일을 사용하는 자바스크립트 로더인 RatDispenter를 사용했습니다.

HTTP 검사를 회피하도록 설계된 이러한 난독화 기술은 네트워크 콘텐츠에서 발생하는 기존의 HTTP 콘텐츠 검사로는 식별할 수 없습니다.이러한 공격은 이러한 보안 제어를 성공적으로 우회하고 엔드포인트에서 실행됩니다.이러한 종류의 공격을 잡으려면 기업은 JavaScript 엔진의 실행을 살펴보고 엔드포인트의 활동을 기반으로 악의적인 동작을 식별해야 합니다. 그래야 공격이 완전히 실행되기 전에 공격을 식별하고 차단할 수 있습니다.

이러한 공격에서 가장 효과적인 보안은 사용자와 가까우며 코드가 실행되고 데이터가 조작되는 곳입니다.이는 웹 브라우저 내에서 가능합니다.이는 일반적으로 구현된 전략과는 다른 전략입니다. 예를 들어 허용 가능한 사용 정책 시행에 초점을 맞추고 시그니처를 사용하여 멀웨어를 식별하며 웹 브라우저 및 애플리케이션 내의 특정 활동을 평가하지 않는 웹 보안 플랫폼이 이에 해당합니다.

기업 보안 팀이 해야 할 일은 모든 콘텐츠를 정확하게 검사하고 기존 보안 도구가 종종 놓치는 방식으로 HEAT (및 기타) 공격을 차단하는 것입니다.오늘날의 웹 브라우징 환경에서 발생할 수 있는 잠재적 위협을 효과적으로 완화하기 위해서는 기업이 포괄적인 브라우저 가시성을 확보하는 데 우선 순위를 두는 것이 필수적입니다.보안팀은 브라우저 가시성에 중점을 두어 웹 사이트에서 발생하는 의심스러운 활동과 악의적인 의도를 실시간으로 탐지하고 차단할 수 있습니다.이러한 사전 예방적 접근 방식을 채택함으로써 사이버 보안 전문가는 조직의 디지털 자산을 더 잘 보호하고 모든 사용자에게 안전한 브라우징 경험을 제공할 수 있습니다.