뉴스에서 보도된 고도로 회피적이고 적응형 위협 (Highly Evasive Adaptive Threats, HEAT)의 실제 예시

2023년 최근 발표된 CyberEdge Cyberthreat Defense Report (CDR)에서 일부 좋은 소식이 있었음에도 불구하고, 침해 사례들은 여전히 이 산업을 괴롭히고 있습니다. Rackspace, Twitter, GitHub을 비롯한 전 세계의 기업, 조직 및 정부 기관들이 더욱 감려 기술적인 위협 행위자들에게 피해를 입고 있으며, 이들은 전통적인 보안 솔루션을 회피하는 데에 능숙해지고 있습니다.

다소 긍정적인 점은 고도로 회피적이고 적응형 위협 (Highly Evasive Adaptive Threats, HEAT)에 대한 명확한 패턴이 있으며, 이를 조명하고 있습니다. 이러한 HEAT 공격은 웹 브라우저의 취약점을 이용하며, 감지 기반 보안 도구를 우회하기 위해 다양한 회피 기술을 사용합니다. 이에는 다중 인증 (MFA) 우회, HTML 스며들기, 악성 비밀번호로 보호된 파일을 활용하거나 Legacy URL 평판 회피(LURE) 등이 포함됩니다. 이러한 공격은 보안 팀에게 브라우저 보안을 강화할 필요성을 알리고 있습니다.

HEAT 공격에 대해 이전에 익숙하지 않았을 수도 있습니다. 그러나 아래에는 뉴스에서 소개된 최근 다섯 가지 주목받는 사이버 공격 사례를 HEAT 위협 범주에 포함시킨 목록을 제공하였습니다:

연구자들이 중국의 국가 해커들의 속임수 있는 공격 전략을 밝혀 냄

새로운 기사 읽기

회피 기술: 악성 비밀번호로 보호된 파일을 이용

우회된 전통적인 보안 기술: 안전한 웹 게이트웨이 (SWG), 샌드박스, 안전한 이메일 게이트웨이

공격 구성 요소: 중국 정부의 지원을 받고 있다고 알려진 악명 높은 해커 그룹인 Earth Preta는 전 세계의 IT 네트워크에 접근하기 위해 회피 기술을 계속 발전시키고 있습니다. 최근의 공격에서 이 그룹은 악성 비밀번호로 보호된 파일을 사용하여 백도어 액세스와 데이터 유출에 사용되는 명령 및 제어 도구를 배포했습니다. 이 그룹은 구글 드라이브나 드롭박스 링크를 통해 위장된 가짜 파일에 악성 페이로드를 숨겨서 스피어 피싱을 통해 목표 피해자에게 메시지를 전달합니다. 최근에는 Earth Preta가 악성 비밀번호로 보호된 파일에 다운로드 링크를 삽입하여 이메일 게이트웨이 솔루션이나 안전한 웹 게이트웨이 (SWG) 및 샌드박스에서의 스캔을 회피하고 있습니다. 이는 보통 모든 암호로 보호된 파일이 브라우저를 통해 다운로드되도록 정책을 가지고 있는 경우, 합법적인 비즈니스 사용 사례에 제한을 가하지 않기 위한 것입니다.

공격 방지: 알려진 것이든 알려지지 않은 것이든, 좋은 것이든 나쁜 것이든, 원격 브라우저 격리 (RBI)는 클라우드에서 원격 브라우저의 모든 파일을 가져와 실행합니다. 이러한 솔루션을 활용하여 문서는 안전하고 격리된 웹 페이지에서 렌더링되며, 적극적으로 스캔됩니다. 문서가 검사를 통과한 후에만 관리자가 다운로드할 수 있습니다. 이는 최대한의 보호와 사용자 경험에 최소한의 방해를 제공합니다.

악성 구글 광고가 AWS 피싱 사이트를 검색 결과에 침투시킵니다.

새로운 기사 읽기

회피 기술: 레거시 평판 회피 기술 (LURE)

우회된 전통적인 보안 기술: URL 필터링, HTTP 페이지/콘텐츠 검사

공격 구성 요소: 최근의 피싱 캠페인은 구글 광고를 사용하여 구글 검색 결과에 피싱 사이트를 침투시켜 아마존 웹 서비스 (AWS) 사용자의 로그인 자격 증명을 훔치려고 합니다. 실제로, 이 공격은 악성 결과를 아마존의 유료 검색 결과 바로 다음으로 배치합니다. 사용자가 클릭하면 해당 링크는 공격자가 통제하는 가짜 음식 블로그로 이동시킵니다. 사용자는 그런 다음 위장된 아마존 브랜딩과 메시지를 가진 가짜 AWS 로그인 페이지로 리디렉션됩니다. 가짜 양식에 자격 증명을 입력하는 사용자는 위험에 노출됩니다.

공격 방지: 가짜 블로그의 구글 광고에서 좋은 평판을 확립함으로써, 위협 행위자는 의심스러운 사이트를 차단하는 분류 엔진을 우회할 수 있습니다. 격리 내에서 동적 정책 시행을 사용하여 이러한 공격을 중단하는 것이 도움이 됩니다. 이를 통해 로그인 양식을 자동으로 비활성화하고 읽기 전용으로 만들 수 있습니다. 이러한 피싱 방어 도구는 이메일 경로뿐만 아니라 다른 위협 경로를 통해 전달되는 피싱 공격을 막기 위해 브라우저 수준에서 구현됩니다.

HTML 스머글링 캠페인은 유명 브랜드를 가장하여 악성 소프트웨어를 전달합니다.

새로운 기사 읽기

회피 기술: HTML 스머글링

우회된 전통적인 보안 기술: 파일 기반 검사, HTTP 콘텐츠/페이지 검사

공격 구성 요소: HTML 스머글링 캠페인은 Adobe, Google, 미국 우편 서비스와 같은 잘 알려진 브랜드를 가장하여 Cobalt Strike, Qakbot, IcedID 및 Xworm RAT와 같은 악성 소프트웨어를 전달하는 경향이 있습니다. HTML 스며들기는 악성 파일을 작은 자바스크립트 블롭으로 분해하여 자체적으로 의심스러운 동작을 하지 않습니다. 그러나 검사 엔진을 통과한 후 파일은 브라우저 수준에서 동적으로 다시 구성됩니다. HTML 스며들기 기술은 HTML5 속성을 사용하여 JavaScript 코드 내에 포함된 페이로드를 오프라인으로 작동할 수 있도록 하며, 웹 브라우저를 통해 열릴 때 디코딩되고 다시 파일 객체로 재조립됩니다. 사용자들은 알려진 브랜드에서 온 것처럼 보이는 HTML 파일은 보통 안전하다고 생각하기 때문에, 알 수 없는 PDF 파일과 같은 의심스러운 파일 유형은 피하려고 합니다.

예방: 격리와 같은 예방 기술은 이 경우에 가상 브라우저 역할을 하여 파일이 재조립되고 사용자의 로컬 브라우저에서 실행되지 않도록 모니터링합니다. 이러한 의심스러운 문서는 격리되어 안티바이러스 도구나 샌드박스에서 검사를 받게 됩니다. 예방적인 피싱 도구는 이미지 (예: 브랜드 로고)를 렌더링한 후에 파일 수준에서 조작되었는지 확인할 수 있습니다.

Gootloader 맬웨어가 ‘공격적인’ 캠페인으로 의료 기관을 대상으로 공격

새로운 기사 읽기

회피 기술: SEO 포이즈닝

전통적인 보안 기술 우회: URL 필터링, HTTP 페이지/컨텐츠 검사

공격의 구성: SEO 포이즈닝은 악의적인 주체들이 사용자의 믿음을 얻기 위해 악성 콘텐츠를 실제보다 더 관련성이 높고 신뢰할 수 있는 것으로 보이도록 하는 것을 가능하게 합니다. 이는 특정 키워드와 링크를 사이트에 삽입하여 해당 사이트가 검색 엔진 결과의 상위에 올라가도록 만드는 방식으로 작동합니다. 사용자는 악성 코드가 포함된 사이트를 방문하게 되며, 해당 코드는 브라우저를 통해 사용자의 기기로 다운로드됩니다. 페이지 소스 파일에 코드를 숨겨 감지를 피하는 JavaScript 코드를 사용하여 Gootloader 및 Cobalt Strike과 같은 악성 코드의 첫 번째 및 두 번째 단계의 페이로드를 전달합니다. 이로써 위협 주체는 피해자의 기기를 제어하고 민감한 정보를 수집할 수 있게 됩니다.

예방: 이메일 경로가 아닌 웹 경로에 구현된 고급 피싱 방어 도구는 고립 내에서 실행 중에 난독화된 콘텐츠를 발견할 수 있습니다. 고립 내의 대리 브라우저를 사용하여 고립 내에서 실행 중에 난독화된 콘텐츠가 복호화되므로 사용자는 실행 중에 로컬 브라우저에서 실행되었을 악성 코드로부터 완전히 보호됩니다.

Reddit은 ‘고급’ 피싱 공격 이후 보안 침해 발생 발표

새로운 기사 읽기

회피 기술: MFA 우회 공격

회피한 전통적인 보안 기술: URL 필터링, HTTP 페이지/컨텐츠 검사

공격 해부: 알려지지 않은 위협 행위자는 최근에 Reddit 직원들에게 회사의 이너넷 게이트웨이와 비슷하게 보이고 작동하는 악성 웹사이트를 방문하도록 유도하는 메시지를 보냈습니다. 한 명의 사용자가 피싱 공격에 속아 자신의 자격증명과 2단계 인증(MFA) 토큰을 제공했습니다. 이로써 위협 행위자는 내부 문서, 비즈니스 시스템 및 일부 광고 정보에 액세스할 수 있었습니다.

예방: 새로운 격리 기반의 행동 엔진은 브랜드 로고, 페이지 요소, 입력 필드 및 URL 링크를 브라우저 내부에서 실시간으로 분석하여 요청된 페이지가 악성인지 여부를 결정하는 고급 머신러닝 알고리즘을 사용합니다. 적응형 보안 제어와 결합된 이러한 안티 피싱 도구는 동적으로 액세스를 차단하거나 페이지를 읽기 전용 모드로 렌더링할 수 있습니다.

주목해야하는 ‘웹 브라우저’

Google이 지식 작업의 75%가 웹 브라우저에서 이루어진다고 발표하고, Verizon가 90%의 침해사고가 이제는 브라우저를 통해 발생한다고 공유하였으므로, 이 생산성 도구들이 사이버 보안 팀에게 큰 관심을 받고 있다고 말할 수 있습니다. 악의적인 행위자들은 지속적으로 기술을 발전시켜 전통적인 보안 도구가 회피적인 브라우저 공격을 감지하기 어렵게 만들고 있습니다. 그리고 한 번 엔드포인트에 초기 액세스를 획득하면, 공격을 퍼뜨리는 것을 막을 수 없게 됩니다. 기업은 매우 정교한 이러한 공격을 미리 예방하기 위해 적극적이고 예방적인 브라우저 보안 전략에 더욱 집중해야 합니다. 이는 브라우저 가시성과 제로-아워(Zero-Hour) 공격을 사전에 방지하는 적응형 보안 제어를 제공하는 기술에 주목함으로써 달성할 수 있습니다.