HEAT 공격: URL 필터링 회피

공격자들이 어떻게 활용하고 있는지 최근에 자세히 설명했습니다. 고도로 회피적인 적응형 위협 (HEAT) 기존의 보안 방어를 쉽게 우회할 수 있습니다.이를 성공적으로 수행하기 위해 공격자들은 사용자의 생산성이 가장 높은 곳에 주의를 집중하고 이러한 방어 수단을 성공적으로 우회하여 피해자를 해치는 HEAT 전술을 사용하고 있습니다.

이제 지식 근로자는 시간이 지남에 따라 더욱 정교해진 웹 브라우저에 크게 의존합니다.그러나 많은 조직은 샌드박스, 방화벽, 엔드포인트 탐지 및 대응 플랫폼과 같은 기존 네트워크 및 엔드포인트 보안 솔루션에 계속 의존하고 있습니다.이러한 솔루션은 단순한 웹 브라우징 인터페이스를 위해 설계되었으므로 오늘날 직원들이 사용하는 현대적이고 다양한 브라우저를 보호하기에는 더 이상 충분하지 않습니다.이제 직원들은 동료 및 파트너와의 커뮤니케이션, 생산성을 위한 웹 기반 애플리케이션 액세스, 뉴스 웹 사이트 검색과 관련된 업무 관련 주제 조사 등 다양한 작업에 브라우저를 활용합니다.Pew Research Center에 따르면 미국인의 약 80% 가 온라인으로 뉴스를 접합니다.이를 위해 그들은 주로 소셜 미디어와 인터넷 검색 엔진을 이용하고 있습니다.바로 이 부분에서 HEAT 공격 기법 중 하나가 악용에 효과적인 것으로 입증되고 있습니다.

보안 업계에서 악성 웹 사이트를 신고하는 방법 중 하나는 신뢰할 수 있는 웹 사이트와 신뢰할 수 없는 웹 사이트로 분류하는 것입니다.웹 보안 도구는 이러한 사이트를 분류할 때 웹 사이트 도메인의 연령, 도메인의 평판, 인기도, 사이트가 이전에 불법 또는 악의적인 활동과 연관되었는지 여부 등의 특성을 고려합니다.HEAT 공격은 양성이거나 신뢰할 수 있는 웹 사이트를 멀웨어를 전송할 수 있는 악성 웹 사이트로 빠르게 전환하여 웹 분류를 회피합니다. Menlo Labs 팀은 이를 레거시 URL 평판 회피 (LURE) 라고 부릅니다.

공격자가 URL 필터링을 회피하는 방법

이러한 공격은 다양한 방법으로 구현될 수 있습니다.물론 위협 행위자는 도메인을 구입하고 신뢰할 수 있는 사이트를 구축한 다음 적절한 시기에 악성 웹 사이트로 전환할 수 있습니다.공격자는 다양한 방법을 사용하여 합법적인 웹 사이트에 침투하여 맬웨어 전달 벡터로 전환합니다.

새 웹 사이트를 만들 때 위협 행위자는 시간이 지남에 따라 웹 사이트와의 신뢰를 구축하는 방식으로 콘텐츠를 제공하고 스스로 행동합니다.이러한 웹 사이트에는 합법적인 콘텐츠가 남아 있으며 악의적인 활동은 장기간 발생하지 않습니다.공격자 또는 그룹은 캠페인에 사용할 해당 사이트의 공급망을 구축할 수 있습니다.

이러한 사이트가 좋은 평판을 얻게 되면 공격자는 사이트가 멀웨어를 전송하고 자격 증명을 피싱할 수 있도록 하는 스위치 방식을 사용합니다.그러면 위협 행위자는 SEO 트래픽을 통해 웹사이트로 유도되는 모든 방문자를 이용하거나 URL을 통해 의도한 피해자를 사이트로 안내할 수 있습니다.공격이 완료되면 위협 행위자는 사이트를 폐쇄하거나 사이트를 원래의 신뢰할 수 있는 상태로 되돌립니다.사이트를 신뢰할 수 있는 상태로 되돌리려고 하면 향후 공격에 다시 사용할 가능성이 높습니다.

기존 보안 툴이 사용 중인 전술을 식별할 때쯤이면 피해가 발생합니다.이러한 공격 유형이 증가하고 있습니다.멘로 랩스 팀은 2020년부터 2021년까지 분류를 회피하는 웹 사이트가 137% 이상 증가했으며, 2019년부터 2021년까지 958% 로 이보다 더 큰 폭으로 증가한 것으로 나타났습니다.

이러한 공격이 급격히 증가한 이유 중 하나는 웹 사이트가 여전히 취약하기 때문입니다.최근의 사례를 생각해 보십시오. 로그4j 취약점.Log4j는 애플리케이션 오류 메시지를 기록하는 데 사용되는 오픈 소스 라이브러리입니다.이 라이브러리는 거의 어디에나 존재하며 패치가 적용되지 않은 버전은 매우 취약합니다.이러한 취약하고 위험에 노출된 사이트는 앞으로 당분간 정적 및 동적 콘텐츠 검사 회피를 위해 합법적인 웹 사이트로 진입하는 데 도움이 될 것입니다.

액티브 공격에 대해서는 Menlo Labs가 주시하고 있습니다. 솔라 메이커SEO 중독을 구현하여 트래픽이 적은 사이트 중 양성으로 확인된 사이트로 사용자를 끌어들이는 적극적인 위협 캠페인입니다.제공한 SEO를 통해 사이트에 대한 관심이 높아지면 위협 행위자는 사이트 내에 악성 콘텐츠를 배치합니다.당사의 조사에 따르면 Secure Web Gateways는 분석을 통해 악성 활동을 식별하고 웹 사이트를 적절하게 분류하기 전에 이러한 웹 사이트에 대한 액세스를 제공했습니다.

URL 필터링을 회피하도록 설계된 공격은 이뿐만이 아닙니다.

최근, 블리핑 컴퓨터 덮은 대규모 캠페인이 일주일 만에 90만 개의 워드프레스 사이트를 대상으로 한 방법공격자들은 웹 방문자를 악성 광고 사이트로 리디렉션하거나 엔드포인트에 관리자 권한이 활성화되어 있는 경우 백도어를 전달하려고 시도했습니다.Ionut Ilascu는 “페이로드를 기준으로 볼 때 공격은 지난 한 달 동안 최소 24,000개의 IP주소를 사용하여 90만 개 이상의 사이트에 악의적인 요청을 보낸 단일 위협 행위자의 소행으로 보인다”고 썼습니다.

그럼 이게 연구 공격자가 회피 기술을 활용하여 수천 명의 사용자에게 도달하는 공격을 증폭시킬 수 있는 방법을 보여주는 Volexity에서 발간했습니다.Volexity가 요약한 이 공격은 InkySquid로 알려진 북한 APT가 브라우저 익스플로잇을 사용하여 최대한 많은 피해자에게 악성 페이로드를 전달하는 방법을 자세히 설명합니다.그들은 해당 웹 사이트를 감염시켜 그렇게 했습니다. 데일리 NK, 그 나라에서 널리 읽히는 논문입니다.

“이러한 URL은 정상적인 기능의 일부로 사용되는 합법적인 파일로 이어집니다. 데일리 NK 웹 사이트; 그러나 공격자가 소유한 도메인 jquery [.] 서비스에서 악성 JavaScript를 로드하도록 사용자를 리디렉션하는 코드를 포함하도록 공격자가 콘텐츠를 수정했습니다.공격자가 포함한 코드는 짧은 기간 동안만 추가되었다가 신속하게 제거되었으므로 악성 콘텐츠를 항상 사용할 수 있는 것은 아니었기 때문에 이러한 활동을 식별하기가 어려웠습니다.” 라고 Volexity는 썼습니다.

그 중요성에 대해 잠시 생각해 보십시오.공격자는 URL을 생성하고 웹 크롤러와 보안 분류 엔진 간에 신뢰를 구축할 수 있습니다.또한 트래픽이 많이 발생하는 인기 웹 사이트를 감염시켜 공격을 수행하고 엔드포인트 웹 브라우저를 통해 멀웨어를 전송할 수 있습니다.이러한 HEAT 공격을 성공적으로 방지하려면 방어자가 다르게 생각해야 한다는 것은 분명합니다.공격을 성공적으로 막으려면 방어 진영도 적과 함께 진화해야 합니다.

오늘날 보안은 웹 브라우저나 웹 연결 애플리케이션 등 사용자의 작업 장소 가까이에 있을 때 가장 효과적입니다.HEAT 공격을 성공적으로 차단하려면 기업 보안 팀은 브라우저에 대한 가시성을 제공하고 의심스러운 행동 및 악의적인 웹 사이트 의도로부터 실시간으로 보호하기 위한 동적 보안 제어를 제공하는 보안 기술, 엔드포인트 전체에 일관된 보안 정책을 적용하고 최신 HEAT 공격을 차단할 수 있도록 보안 정책 관리를 간소화하는 기술을 고려해야 합니다.마지막으로, HEAT 공격의 위협이 증가하고 있다는 점을 고려할 때 보안 팀은 웹 방어에 훨씬 더 집중하는 것이 필수적입니다.