HEAT 공격: 오프라인 분류 및 위협 탐지 회피

HEAT(Highly Evasive Adaptive Threats) 시리즈에서 다루었듯이 공격자는 기존 보안 방어를 쉽게 우회합니다. 그리고 이를 성공적으로 수행하기 위해 공격자는 사용자가 가장 생산적인 위치에 주의를 집중하고 이러한 방어를 성공적으로 우회하여 피해자를 손상시키는 HEAT 전술을 사용합니다.

지식 근로자는 내부 및 외부 파트너 및 동료와 의사 소통하는 것부터 생산성을 유지하는 데 도움이 되는 웹 기반 응용 프로그램을 활용하고 여러 번 액세스해야 하는 작업 주제 연구에 이르기까지 모든 작업을 수행하기 위해 웹에서 점점 더 많은 시간을 보내고 있습니다. 뉴스. Pew Research Center에 따르면 미국인의 약 80%가 뉴스를 온라인으로 접합니다. 그리고 이를 위해 주로 소셜 미디어와 인터넷 검색 엔진을 공격합니다. 이것은 하나의 HEAT 공격 기술이 익스플로잇에서 효과적인 것으로 입증된 곳입니다.

보안 업계가 악성 웹사이트에 플래그를 지정하는 방법 중 하나는 해당 웹사이트를 신뢰할 수 있는 웹사이트 또는 신뢰할 수 없는 웹사이트로 분류하는 것입니다. 이러한 사이트를 분류하기 위해 웹 보안 도구는 웹 사이트 도메인의 나이, 도메인의 명성, 인기도, 사이트가 이전에 불법 또는 악의적인 활동과 연관되었는지 여부와 같은 특성을 고려합니다. HEAT 공격은 악성 웹사이트를 악성 웹사이트로 빠르게 전환하여 악성 웹사이트를 악성 웹사이트로 전환함으로써 웹 분류를 회피합니다. Menlo Labs 팀은 이를 Legacy URL Reputation Evasion(LURE)이라고 합니다.

공격자가 오프라인 분류 및 위협 탐지를 회피하는 방법

이러한 공격은 다양한 방식으로 구현될 수 있습니다. 확실히 위협 행위자는 도메인을 구입하고 신뢰를 얻을 사이트를 구축한 다음 적시에 악성 웹사이트로 전환할 수 있습니다. 공격자는 다양한 방법을 사용하여 합법적인 웹 사이트에 침투하여 멀웨어 전달 벡터로 전환합니다.

새로운 웹사이트를 만들 때 위협 행위자는 콘텐츠를 제공하고 시간이 지남에 따라 웹사이트에 대한 신뢰를 구축하는 방식으로 행동합니다. 이러한 웹 사이트에는 합법적인 콘텐츠가 남아 있고 오랜 기간 동안 악의적인 활동이 없습니다. 공격자나 그룹은 캠페인에 사용할 이러한 사이트의 공급망을 구축할 수 있습니다.

이러한 사이트가 좋은 평판을 얻으면 공격자는 사이트가 자격 증명을 위해 멀웨어와 피싱을 전달할 수 있도록 하는 스위치를 전환합니다. 그런 다음 위협 행위자는 SEO 트래픽을 통해 웹사이트로 연결되는 방문자를 이용하거나 URL을 통해 의도된 피해자를 사이트로 안내할 수 있습니다. 공격이 완료되면 위협 행위자는 사이트를 종료하거나 사이트를 원래의 신뢰할 수 있는 상태로 되돌립니다. 사이트를 신뢰할 수 있는 상태로 되돌리려고 시도하면 향후 공격에서 다시 사용할 가능성이 있습니다.

기존 보안 도구가 사용 중인 전술을 식별할 때쯤이면 피해가 완료된 것입니다. 이러한 공격 유형이 증가하고 있습니다. Menlo Labs 팀은 2020년에서 2021년까지 분류를 회피한 웹사이트에서 137% 이상 증가했으며 2019년에서 2021년까지 958% 더 큰 증가를 관찰했습니다.

이러한 공격이 극적으로 증가한 이유 중 일부는 웹 사이트가 취약한 상태로 남아 있기 때문입니다. 최근 Log4j 취약점을 고려하십시오. Log4j는 애플리케이션 오류 메시지를 기록하는 데 사용되는 오픈 소스 라이브러리입니다. 이 라이브러리는 거의 어디에나 있으며 패치되지 않은 버전은 매우 취약합니다. 이러한 취약하고 위험에 처한 사이트는 앞으로 한동안 정적 및 동적 콘텐츠 검사 회피를 위한 합법적인 웹 사이트로의 유익한 진입로가 될 것입니다.

적극적인 공격과 관련하여 Menlo Labs는 SEO 중독을 구현하여 무해한 것으로 식별된 트래픽이 적은 사이트로 잠재고객을 끌어들이는 적극적인 위협 캠페인인 SolarMaker를 주시하고 있습니다. 사이트가 제공한 SEO 연료로 인해 사이트의 관심이 높아지면 위협 행위자는 사이트 내에 악성 콘텐츠를 배치합니다. 우리의 연구에 따르면 보안 웹 게이트웨이는 분석을 통해 악성 활동을 식별하고 웹 사이트를 적절하게 분류하기 전에 이러한 웹 사이트에 대한 액세스를 제공했습니다.

이것은 확실히 오프라인 분류 및 위협 탐지를 피하기 위해 설계된 유일한 공격은 아닙니다.

최근 Bleeping Computer는 대규모 캠페인이 일주일 안에 900,000개의 WordPress 사이트를 표적으로 삼은 방법을 다루었습니다. 공격자는 웹 방문자를 악성 광고 사이트로 리디렉션하거나 엔드포인트에 관리 권한이 활성화된 경우 백도어를 전달하려고 시도했습니다. Ionut Ilascu는 “페이로드를 기반으로 한 공격은 지난 한 달 동안 최소 24,000개의 IP‌ 주소를 사용하여 900,000개 이상의 사이트에 악성 요청을 보낸 단일 위협 행위자의 작업으로 보입니다.”라고 썼습니다.

그런 다음 Volexity의 이 연구에서는 공격자가 회피 기술을 활용하여 수천 명의 사용자에게 도달하는 공격을 증폭할 수 있는 방법을 보여줍니다. Volexity가 요약한 공격은 InkySquid로 알려진 북한 APT가 브라우저 익스플로잇을 사용하여 최대한 많은 피해자에게 악성 페이로드를 전달하는 방법을 자세히 설명합니다. 그들은 그 나라에서 널리 읽히는 신문인 DailyNK의 웹사이트를 감염시켜 그렇게 했습니다.

“이 URL은 DailyNK 웹사이트의 정상적인 기능의 일부로 사용되는 합법적인 파일로 연결됩니다. 그러나 그 내용은 공격자가 소유한 도메인 jquery[.]서비스에서 악성 JavaScript를 로드하도록 사용자를 리디렉션하는 코드를 포함하도록 공격자에 의해 수정되었습니다. 공격자가 포함된 코드는 짧은 기간 동안만 추가되었다가 신속하게 제거되어 악성 콘텐츠를 항상 사용할 수 있는 것은 아니었기 때문에 이러한 활동을 식별하기가 어려웠습니다.”라고 Volexity는 썼습니다.

잠시 그 의미를 생각해 보십시오. 공격자는 URL을 생성하고 웹 크롤러와 보안 분류 엔진 간에 신뢰를 구축할 수 있습니다. 또한 트래픽이 많은 인기 있는 웹 사이트를 감염시켜 공격을 수행하고 엔드포인트 웹 브라우저를 통해 맬웨어를 전달할 수 있습니다. 이러한 HEAT 공격을 성공적으로 방지하려면 방어자가 다르게 생각해야 한다는 것이 분명합니다. 공격을 성공적으로 차단하려면 방어자가 적과 함께 진화해야 합니다.

오늘날 보안은 웹 브라우저 또는 웹 연결 애플리케이션 내에서 사용자가 작업하는 곳과 가까울 때 가장 효과적입니다. 또한 HEAT 공격을 성공적으로 차단하려면 엔터프라이즈 보안 팀은 웹 기반 HEAT 공격을 차단할 수 있는 보안과 엔드포인트 전반에 일관된 보안 정책을 적용하고 보안 정책 관리를 간소화하여 최신 HEAT 공격을 차단할 수 있는 기술을 고려해야 합니다. . 마지막으로, 증가하는 HEAT 공격의 위협을 볼 때 보안 팀이 웹 방어에 훨씬 더 집중하는 것이 중요합니다.