눈에 잘 띄지 않는 곳에 숨는 것은 수백만 년 동안 자연에서 연마된 검증된 전략입니다.꽃을 닮은 나비.기도하는 사마귀로 벌레가 눈에 띄는 거리 안에서 돌아다니기를 기다립니다.배경과 조화를 이루는 카멜레온.곤충, 파충류, 포유류 등 다양한 동물들은 눈에 잘 띄지 않는 곳에 숨는 것이 맛있는 음식을 먹거나 다른 사람의 점심거리가 되지 않도록 하는 좋은 방법이라는 것을 알고 있습니다.
사이버 범죄자와 기타 악의적인 행위자는 자연에서 힌트를 얻고 정상적인 사용자 행동을 사용하여 기존의 탐지 기술을 회피하고 기업 네트워크를 침해합니다.이러한 것들은 고도로 회피적인 적응형 위협 (HEAT) 기존의 웹 보안 조치를 우회하고 웹 브라우저 기능을 활용하여 멀웨어를 전송하거나 자격 증명을 손상시키세요.HEAT 공격이 성공하면 샌드박스를 비롯한 모든 브라우저 기반 보안 방어가 무력해집니다.또한 파일 검사, 네트워크 및 HTTP 수준 검사, 악성 링크 분석, 오프라인 도메인 분석, 침해 지표 (IOC) 피드도 무력합니다.
HEAT 공격은 악의적인 활동을 정상적인 사용자 행동으로 위장하여 이러한 기존 탐지 방법을 모두 회피합니다.모든 HEAT 공격은 합법적인 활동과 유사하기 때문에 조직은 이러한 공격을 차단하는 능력에만 의존할 수 없습니다. 잎사귀처럼 보이는 물체를 멀리하는 것만으로도 기도하는 사마귀가 벌레에게 잡아먹히는 것을 방지할 수 있기 때문입니다.전 세계 수백만 조직에서 사용하는 샌드박스는 좋은 행동과 나쁜 행동을 구분할 수 없기 때문에 오늘날 가장 흔하고 파괴적인 사이버 공격 (예: 멀웨어 및 랜섬웨어) 을 탐지하고 대응하기가 점점 더 어려워지고 있습니다.
HEAT 공격이 샌드박스를 회피하기 위해 사용하는 네 가지 전술은 다음과 같습니다.
공격자들은 합법적인 JavaScript 및 HTML5 기능을 활용하여 악성 페이로드를 HTML 코드에 직접 숨기는 경우가 점점 더 많아지고 있습니다.이메일에 내장된 JavaScript Blob 형태로 전송되거나 첨부 파일로 제공되는 이 악성 스크립트는 브라우저에서 디코딩된 후 사용자 기기에서 페이로드를 어셈블합니다.이를 통해 공격자는 방화벽 뒤에서 로컬로 멀웨어를 구축하여 샌드박스를 우회할 수 있습니다.
예시: 동형 감염
또 다른 방법은 보안상 샌드박스에서 검사할 수 없는 암호로 보호된 파일에 악성 코드를 전달하는 것입니다.정책에 따른 샌드박스 검사 대상에서 제외되는 결제 카드 정보 (PCI) 데이터 또는 개인 식별 정보 (PII) 와 같은 민감한 정보가 포함된 중요 파일로 가장하면 공격자가 샌드박스를 우회할 수 있습니다.이 초기 방어선을 넘어서면 공격은 엔드 디바이스에 페이로드로 조립되어 네트워크 전체로 확산됩니다.
예시: Qbot 맬웨어는 암호로 보호된 파일을 사용합니다.
보안팀은 생산성에 영향을 주지 않으면서 기업을 보호할 수 있다는 점을 항상 인식하고 있으며, 검사를 위해 모든 파일을 샌드박스로 보내는 것은 생산성을 중단시키는 방법의 좋은 예입니다.정책에 따라 최종 사용자에게 보낼 파일이 파일 유형과 크기에 따라 달라집니다.100MB 미만의 대부분의 파일은 샌드박스에서 분석한 후 최종 사용자에게 전달할 수 있습니다.100MB를 초과하는 파일은 샌드박스에서 거부되며, 생산성에 영향을 주거나 과도한 헬프 데스크 티켓이 에스컬레이션되는 것을 방지하기 위해 특정 정책에 따라 차단되거나 최종 사용자에게 바로 전달됩니다.악의적인 공격자는 이러한 검증된 접근 방식을 사용하여 오버사이즈 파일을 전송하여 결국 최종 디바이스에 페이로드를 모으는 방식으로 샌드박스를 회피합니다.
예시: SEO 중독을 활용하여 악성 페이로드를 다운로드하는 솔라마커
위협 행위자들은 악의적인 URL 링크 분석 엔진을 회피할 수 있는 몇 가지 기발한 방법을 고안하고 있습니다. 이러한 분석 엔진은 전통적으로 이메일 경로 내에 구현되어 사용자가 링크를 보기도 전에 분석합니다.대신 문자 메시지, 소셜 미디어, 전문 웹 네트워크, 협업 소프트웨어, SMS, 공유 문서, 공유 폴더 및 SaaS (Software as a Service) 플랫폼을 사용할 수 있습니다.이러한 보안되지 않은 채널을 통해 악성 링크를 전송하면 샌드박스를 회피하여 공격자가 사용자의 단말 장치를 공격할 수 있습니다.
예시: 해커는 MSFT Teams를 활용하여 멀웨어를 전송합니다
무해해 보이는 콘텐츠나 행동이 좋은지 나쁜지를 확실히 알 수 있는 유일한 방법은 보안에 대한 예방적 입장을 취하여 질문을 아예 피하는 것입니다.오늘날 많은 조직에서 다음과 같은 솔루션을 결합하고 있습니다. 격리 기반 보안 솔루션을 통한 제로 트러스트 사고방식 답변으로.이렇게 하면 인터넷과 사용자 디바이스 사이에 추상화된 계층이 생성되어 모든 웹 콘텐츠 (양호 및 불량 웹 콘텐츠) 를 격리된 계층을 통해 라우팅합니다.이를 통해 HEAT 공격을 방지하고 회피 기술을 무용지물로 만들 수 있습니다.
