뉴스:
멘로 시큐리티, 구글과 전략적 파트너십 발표
__wf_예약_상속

뉴스에 실린 고도로 회피적인 적응형 위협 (HEAT) 의 실제 사례

Neko Papez
|
May 7, 2023
__wf_예약_상속

최근에 출시된 몇 가지 좋은 소식에도 불구하고 2023 사이버엣지 사이버 위협 방어 보고서 (CDR), 세간의 이목을 끄는 보안 침해가 계속해서 업계를 괴롭히고 있습니다.Rackspace에서 Twitter, GitHub에 이르기까지 전 세계 기업, 조직 및 정부 기관은 기존 보안 솔루션을 우회하는 데 점점 더 능숙해지고 있는 정교한 위협 행위자들의 피해를 입었습니다.

약간 은색 안감은 여기에 빛을 비추는 명확한 패턴이 있다는 것입니다. 고도로 회피적인 적응형 위협 (HEAT).이러한 HEAT 공격은 다양한 회피 기술을 사용하여 탐지 기반 보안 도구를 우회하여 웹 브라우저의 취약점을 악용합니다.여기에는 다단계 인증 (MFA) 우회, HTML 밀수, 암호로 보호된 악의적인 악의적 활용, 레거시 URL 평판 회피 (LURE) 등이 포함됩니다.말할 필요도 없이 이러한 쿠키는 보안 팀이 브라우저 보안을 강화하기 위한 경종을 울리는 역할을 하고 있습니다.

이전에 HEAT 공격에 익숙하지 않으셨을 수도 있지만, 최근 뉴스에서 읽으셨을 수도 있는, 이 위협 범주에 속하는 다섯 가지 사이버 공격 목록을 작성했습니다.

연구원들이 중국 국가 해커들의 기만적 공격 전략을 밝혀내다

뉴스 기사 읽기

회피 기법: 암호로 보호된 악성 파일 활용

기존 보안 기술을 우회했습니다.: 보안 웹 게이트웨이 (SWG), 샌드박스, 보안 이메일 게이트웨이

공격 해부학: 오랫동안 중국 정부의 지원을 받은 것으로 의심되는 악명 높은 해커 어스 프레타 (Earth Preta) 는 전 세계 IT 네트워크에 액세스하기 위해 회피 기술을 계속 발전시키고 있습니다.이 단체는 최근 공격에서 암호로 보호된 악성 파일을 사용하여 데이터 유출에 사용되는 백도어 액세스 및 명령 및 제어 도구를 배포했습니다.메시지는 스피어 피싱을 통해 의도한 피해자에게 전달되며 다음과 같은 Google Drive 또는 DropBox 링크를 통해 전달됩니다. 가짜 파일에 악성 페이로드 숨기기 합법적인 문서로 위장한 것이죠.가장 최근에 Earth Preta는 이메일 게이트웨이 솔루션이나 보안 웹 게이트웨이 (SWG) 및 샌드박스의 스캔을 방지하기 위해 암호로 보호된 파일에 다운로드 링크를 내장하고 있습니다. 보안 웹 게이트웨이 (SWG) 및 샌드박스는 합법적인 비즈니스 사용 사례를 방해하지 않도록 브라우저를 통해 암호로 보호된 모든 파일을 브라우저를 통해 다운로드할 수 있도록 허용하는 정책을 적용하는 경우가 많습니다.

공격 방지: 알려진 파일이든 알 수 없든, 좋든 나쁘든 관계없이 RBI (원격 브라우저 격리) 는 클라우드의 원격 브라우저에 있는 모든 파일을 가져와서 실행합니다.이러한 솔루션을 활용하면 문서가 안전하고 격리된 웹 페이지에 렌더링되고, 이 웹 페이지에서는 활성 스캐닝이 수행됩니다.관리자는 문서 검사를 통과한 후에만 문서를 다운로드할 수 있습니다.그 결과 사용자 경험에 미치는 영향을 최소화하면서 최대한의 보호 기능을 제공할 수 있습니다.

악성 Google 광고가 AWS 피싱 사이트를 몰래 검색 결과에 노출시킵니다.

뉴스 기사 읽기

회피 기법: 레거시 평판 회피 기법 (LURE)

기존 보안 기술을 우회했습니다.: URL 필터링, HTTP 페이지/콘텐츠 검사

공격 해부학: 최근 Google Ads를 사용한 피싱 캠페인은 피싱 사이트를 Google 검색에 몰래 삽입하기 아마존 웹 서비스 (AWS) 사용자의 로그인 자격 증명을 도용하려는 시도.실제로 이 공격은 Amazon 자체 유료 검색 결과에 이어 두 번째로 악의적인 결과를 초래합니다.링크를 클릭하면 사용자는 공격자가 통제하는 가짜 음식 블로그로 이동합니다.그러면 사용자는 겉보기에 진짜인 아마존 브랜딩과 메시지가 담긴 가짜 AWS 로그인 페이지로 리디렉션됩니다.그러면 가짜 양식에 자격 증명을 입력하는 사용자는 보안 침해 당할 수 있습니다.

공격 방지: 가짜 음식 블로그로 Google Ads에서 좋은 평판을 얻으면 위협 행위자가 의심스러운 사이트를 차단하는 분류 엔진을 우회할 수 있습니다.Isolation 내에서 동적 정책 적용을 사용하면 로그인 양식을 자동으로 사용 중지하고 읽기 전용으로 설정하여 이러한 공격을 차단할 수 있습니다.이러한 피싱 방어 도구는 이메일 경로에만 구현되지 않고 브라우저 수준에서 구현됩니다. 즉, 이메일이 아닌 위협 벡터를 통해 전달되는 피싱 공격을 차단하는 접근 방식입니다.

HTML 밀수 캠페인은 유명 브랜드를 사칭하여 멀웨어를 유포합니다.

뉴스 기사 읽기

회피 기법: HTML 스머글링

기존 보안 기술을 우회했습니다.: 파일 기반 검사, HTTP 콘텐츠/페이지 검사

공격 해부학: Adobe, Google 및 미국 우정청과 같은 유명 브랜드를 사칭하여 Cobalt Strike, Qakbot을 비롯한 멀웨어를 유포하는 HTML 밀수 캠페인이 증가하고 있습니다. IceDid 그리고 엑스웜 쥐.HTML 밀수는 악성 파일을 자체적으로 의심스러운 작업을 수행하지 않는 작은 자바스크립트 블롭으로 분해하는 방식으로 작동합니다.하지만 검사 엔진을 통과하면 파일은 브라우저 수준에서 동적으로 다시 빌드됩니다.이러한 HTML 밀수 기법은 내장된 페이로드를 오프라인으로 저장할 수 있는 HTML5 속성을 사용하여 작동하며, 내장된 페이로드는 JavaScript 코드 내에 저장한 다음 웹 브라우저를 통해 열 때 파일 객체로 디코딩되고 다시 어셈블됩니다.사용자는 알 수 없는 PDF와 같이 의심스러운 파일 형식을 피해야 한다는 것을 알고 있는 경우가 많지만 HTML 파일은 안전한 것으로 간주되는 경우가 많습니다. 특히 이름이 알려진 PDF 파일인 경우 더욱 그렇습니다.

예방: 이 경우 격리와 같은 예방 기술은 사용자의 로컬 브라우저에서 재조립 및 실행하려는 파일을 모니터링하는 대리 브라우저 역할을 합니다.이러한 의심스러운 문서는 격리되고 바이러스 백신 도구 또는 샌드박스의 검사를 거칩니다.또한 피싱 예방 도구는 렌더링 후 이미지 (예: 브랜드 로고) 를 검사하고 파일 수준에서 이미지가 조작되었는지 식별할 수 있습니다.

굿로더 멀웨어는 '공격적인' 캠페인으로 의료 기관을 표적으로 삼습니다

뉴스 기사 읽기

회피 기법: SEO 중독

기존 보안 기술을 우회했습니다.: URL 필터링, HTTP 페이지/콘텐츠 검사

공격 해부학: SEO 포이즈닝은 악의적인 공격자가 의심하지 않는 사용자를 악용하여 악의적인 콘텐츠를 사용자에게 실제보다 관련성 있고 신뢰할 수 있는 것처럼 보이게 할 수 있습니다.사이트에 특정 키워드와 링크를 삽입하여 해당 정보를 파악하는 방식으로 작동합니다. 검색 엔진 결과의 최상위에 오르기.사용자는 속아서 브라우저를 통해 최종 장치에 멀웨어가 다운로드되는 사이트를 방문하게 됩니다.그런 다음 페이지 소스 파일에 코드를 숨겨 탐지를 방지하는 난독화된 자바스크립트 루프를 사용하여 1단계 및 2단계 페이로드의 ZIP 파일을 전송하며, 이는 결국 Gootloader 및 Cobalt Strike와 같은 멀웨어의 추가 배포로 이어집니다.이를 통해 위협 행위자는 피해자의 기기를 제어하고 민감한 정보를 수집할 수 있습니다.

예방: 이메일 경로가 아닌 웹 경로에 구현된 고급 피싱 방어 도구는 격리 내에서 런타임 시 난독화된 콘텐츠를 발견할 수 있습니다.격리 내에서 대체 브라우저를 사용하면 난독화된 콘텐츠가 격리 내에서 런타임 시 난독 제거되어 런타임 시 사용자의 로컬 브라우저에서 실행되었을 수 있는 모든 악성 코드로부터 사용자를 보호하여 사용자를 완벽하게 보호합니다.

Reddit은 '정교한' 피싱 공격 이후 보안 침해를 확인했습니다

뉴스 기사 읽기

회피 기법: MFA 바이패스

기존 보안 기술 회피: URL 필터링, HTTP 페이지/콘텐츠 검사

공격 해부학: 알려지지 않은 위협 행위자가 최근 Reddit 직원에게 회사의 인트라넷 게이트웨이처럼 보이고 작동하는 악성 웹 사이트를 방문하도록 지시하는 메시지를 보냈습니다.한 명의 사용자가 피싱 공격에 빠져 자신의 자격 증명과 2단계 인증 (일명 MFA) 토큰을 포기했습니다.그 후 위협 행위자는 내부 문서, 비즈니스 시스템 및 일부 광고 정보에 액세스할 수 있었습니다.

예방: 새로운 격리 기반 행동 엔진은 고급 기계 학습 알고리즘을 사용하여 브라우저 내에서 직접 브랜드 로고, 페이지 요소, 입력 필드 및 URL 링크를 분석하여 요청된 페이지가 악성인지 여부를 실시간으로 판단합니다.이러한 안티피싱 도구는 적응형 보안 제어 기능과 함께 액세스를 동적으로 차단하거나 페이지를 읽기 전용 모드로 렌더링할 수 있습니다.

주목받는 웹 브라우저

Google은 지식 작업의 75% 가 웹 브라우저 내에서 수행되고 있다고 보고했으며 Verizon은 현재 보안 침해의 90% 가 브라우저를 통해 발생한다는 사실을 알고 있기 때문에 사이버 보안 팀에서 이러한 생산성 도구를 주목 받고 있다고 해도 과언이 아닙니다.악의적인 공격자들은 계속해서 기술을 발전시켜 진행 중인 기존 보안 도구로는 그 어느 때보다 우회적인 브라우저 공격을 탐지하기가 어려워지고 있습니다.그리고 일단 엔드포인트에 처음 액세스하면 공격 확산을 막기에는 너무 늦습니다.조직은 이러한 고도로 정교한 공격을 차단하기 위해 사전 예방적이고 예방적인 브라우저 보안 전략에 더 집중해야 합니다.이는 애초에 제로 아워 공격이 발생하지 않도록 방지하는 브라우저 가시성과 적응형 보안 제어를 제공하는 기술에 집중함으로써 달성할 수 있습니다.

블로그 카테고리
태그가 지정되었습니다
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속