월드 투어:
Menlo의 보안 엔터프라이즈 브라우저를 통해 어떻게 공격자보다 한 발 앞서 나갈 수 있는지 실시간으로 살펴보세요.
__wf_예약_상속

공격자가 LURE 공격으로 레거시 SWG를 우회하는 방법

Neko Papez
|
July 19, 2022
__wf_예약_상속
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속
__wf_예약_데코레이션

위협 행위자들은 계속해서 공격을 증폭시키고 조직을 해킹하기 위한 교묘한 방법을 모색하고 있습니다.인기가 높아지고 있는 특정 전술 중 하나는 레거시 URL 평판 회피 (LURE) 입니다. 이전에 이 전략에 대해 다룬 적이 있습니다.그러나 새로운 LURE 공격이 발견됨에 따라 이전 세대의 보안 웹 게이트웨이 (SWG) 와 기존 URL 필터를 사용하는 조직은 점점 더 위험에 처하게 될 것입니다.이러한 공격과 조직이 이러한 공격을 성공적으로 차단하기 위해 취할 수 있는 조치를 자세히 살펴보는 것이 중요하다고 생각했습니다.

기본적으로 LURE 공격은 신뢰를 기반으로 도메인을 분류하려는 웹 필터를 우회합니다.공격자들은 이러한 보안 시스템이 이미 신뢰하고 있는 보안이 취약한 웹 사이트를 손상시키고 이를 이용하여 멀웨어를 서비스하거나 사용자 자격 증명을 도용합니다.이러한 LURE 공격의 증가는 놀라울 정도입니다.루어 전술이 지난 2년 동안 950% 이상 증가한 것으로 나타났습니다.이러한 공격은 피싱 페이지를 게시하고, 브라우저 익스플로잇을 실행하고, 사용자 엔드포인트에 악성 파일을 전송하는 데 사용될 수 있습니다.

루어 공격은 한 가지 유형에 불과합니다. 고도로 회피적인 적응형 위협 (HEAT).요약하자면, HEAT 공격은 웹 브라우저를 공격 벡터로 표적으로 삼는 사이버 위협의 일종입니다.이들은 현재 보안 스택에서 여러 계층의 탐지를 성공적으로 회피하는 기술을 사용합니다.즉, 방화벽, SWG, 샌드박스 분석, URL 평판, 피싱 탐지를 성공적으로 우회할 수 있습니다.HEAT 공격은 종종 공격자가 멀웨어를 전달하거나 자격 증명을 손상시켜 성공적인 랜섬웨어 공격으로 이어지는 초기 방법입니다.

새로운 루어 공격 확인

블리핑 컴퓨터 커버 a 최근 보고서에 나타난 루어 공격.이 이야기는 보안 연구원들이 효과적인 피싱 캠페인의 일환으로 일반적인 URL 단축기와 함께 사용되는 역방향 터널 서비스의 증가를 어떻게 목격했는지 자세히 설명합니다.

이 LURE 공격을 사용하면 위협 행위자는 과거처럼 공격에 사용할 도메인을 등록하고 구축할 필요가 없습니다.BleepingComputer가 보도한 바와 같이 이러한 공격자들은 “자신의 컴퓨터에 로컬로 피싱 페이지를 호스팅하고 외부 서비스를 통해 연결을 라우팅할 수 있다”고 합니다.URL 단축 서비스를 사용하면 탐지를 우회하고 싶은 만큼 자주 새 링크를 생성할 수 있습니다.”

이 전략을 사용하면 공격자는 피싱 사이트가 호스팅 제공업체에 너무 빨리 유입되어 공격이 효과적일 수 있다는 불만을 걱정할 필요가 없으며 공격 대상을 손상시킬 때까지 필요한 만큼 많은 링크를 생성할 수 있습니다.이 두 방법 모두 기존의 평판 기반 URL 필터를 우회합니다.

공격자들은 LURE 공격으로 창의력을 발휘합니다

블리핑컴퓨터가 다룬 루어 공격은 멘로 랩스 연구팀이 최근 모니터링한 루어형 HEAT 공격의 가장 최근 사례에 불과합니다.또 다른 예로 브라우저 인 더 브라우저 캠페인, 즉 BitB 공격이 있습니다. 5월에 다룬 내용입니다..BitB 공격에서 위협 행위자는 제대로 보호되지 않은 웹 사이트를 손상시키고 Facebook 또는 Google과 같은 신뢰할 수 있는 기관의 로그인 페이지처럼 보이는 가짜 팝업 창을 만들어 악성 사이트가 잠재적 피해자에게 합법적인 것처럼 보이게 합니다.팝업은 가짜이긴 하지만 대부분의 피싱 공격과 마찬가지로 합법적인 URL을 사용하는 경우가 많습니다.물론 기본 팝업 코드는 로그인 자격 증명을 캡처하여 가짜 창에 입력되면 이를 처리하도록 설계되었습니다.

Menlo Labs에서도 자세히 설명한 또 다른 LURE 공격의 예는 CAPTCHA 기능을 사용하여 악성 웹 사이트를 합법적인 것처럼 보이게 만들고 사용자가 액세스 자격 증명을 제공하도록 유도하는 것입니다.

Lure를 기반으로 한 랜섬웨어 공격의 구조

공격자는 자격 증명 수집부터 랜섬웨어 공격에 이르기까지 다양한 이유로 Lure 스타일의 HEAT 공격을 사용할 수 있습니다.랜섬웨어 공격에서 위협 행위자는 LURE HEAT 기술을 사용하여 제대로 보호되지 않은 웹 사이트를 손상시킬 수 있습니다.이 웹 사이트는 이미 평판이 좋은 것으로 분류되어 신뢰할 수 있기 때문에 웹 분류 도구 및 기타 필터링 방어 수단으로 사이트를 차단하거나 신고하지 않습니다.

다음과 같은 상황이 발생합니다.

  • 손상된 웹 사이트는 검색 결과에 나타나는 악성 PDF를 호스팅합니다.
  • 사용자가 SEO에 감염된 링크를 클릭하면 HTTP 리디렉션을 여러 번 수행한 후 악의적인 1단계 멀웨어 페이로드가 엔드포인트에 다운로드됩니다.
  • 공격자는 이 백도어 액세스를 활용하여 시스템 정보를 수집하여 공격을 강화합니다.
  • 이 시점에서 위협 행위자는 다크 웹을 통해 가장 높은 랜섬웨어 위협 행위자에게 액세스 권한을 판매하거나 페이로드를 직접 전달할 수 있습니다.
  • 랜섬웨어 공격자는 Cobalt Strike와 같은 공격 페이로드를 백도어를 통해 전달하여 네트워크 내에서 측면 방향으로 이동할 수 있도록 합니다.
  • 공격자는 성공적인 Active Directory 침해를 통해 완전한 도메인 손상을 입게 됩니다.
  • 그런 다음 행위자는 연결된 모든 워크스테이션에 랜섬웨어를 배포합니다.

Lure와 같은 HEAT 공격은 엔드포인트에 진입한 다음 조직 내에서 측면적이고 심층적으로 이동하려는 공격자의 목표를 달성하기 위해 맬웨어를 전달하는 데 사용되며 매일 발생합니다.이러한 공격을 성공적으로 방어하려면 기업은 먼저 공격이 어떻게 취약할 수 있는지 이해해야 합니다.그래야만 위험 영역을 완화할 수 있습니다.

루어 공격에 대한 방어

조직이 이러한 유형의 공격을 방지할 수 있도록 Menlo는 최근 HEAT 공격에 대한 취약성을 더 잘 이해할 수 있도록 간단한 침투 및 노출 평가를 제공하는 HEAT 보안 평가 툴킷을 출시했습니다. 히트 체크 도구 보안팀이 LURE 등과 같은 HEAT 공격에 취약한 영역을 식별하는 광 침투 테스트를 실행할 수 있습니다.이 평가에서는 보안 팀이 조직의 실제 노출을 안전하게 파악할 수 있도록 위협 행위자들이 현재 사용하고 있는 몇 가지 실제 HEAT 공격을 활용합니다.

HEAT Check 도구는 실제 악성 콘텐츠나 공격을 전달하지 않습니다.대신 EICAR라는 업계 표준 파일을 사용하여 기존 HEAT 노출 위험을 테스트합니다.EICAR는 유럽 컴퓨터 바이러스 백신 연구소 (EICAR) 에서 개발한 표준 멀웨어 텍스트 파일입니다.보안 스택 내에서 경고를 트리거하지 않고 EICAR 파일을 전달하면 보안 기술이 HEAT 공격을 성공적으로 방어하는 데 필요한 수준의 보호 기능을 제공하지 못하고 있다는 뜻입니다.

보안 팀은 HEAT 검사 도구 외에도 Splunk용 Menlo 보안 HEAT 분석기 앱에 액세스할 수 있습니다. 이제 Splunkbase에서 사용할 수 있습니다.이를 통해 조직은 조직 외부에 데이터를 공유할 위험 없이 네트워크에 영향을 미쳤을 수 있는 HEAT 공격에 대한 가시성을 확보할 수 있습니다.이 평가 도구는 고객의 웹 트래픽을 분석하여 고객이 HEAT 공격에 어느 정도 취약한지 확인하고, 현재 네트워크에 어떤 형태의 HEAT 노출이 있는지를 식별합니다.

블로그 카테고리
태그가 지정되었습니다