공격자가 LURE 공격으로 레거시 SWG를 우회하는 방법

위협 행위자들은 계속해서 공격을 확대하고 기업을 침해하기 위한 교활한 방법을 탐구하고 있습니다. 특히 최근에는 유산으로 불리는 레거시 URL 평판 회피(LURE) 전술이 인기를 얻고 있습니다. 우리는 이 전술에 대해 이전에 다루었지만, 새로운 LURE 공격이 발견되면서 이전 세대의 안전한 웹 게이트웨이(SWG)와 전통적인 URL 필터를 사용하는 조직은 점점 더 위험에 노출될 것으로 예상됩니다. 이에 우리는 이러한 공격에 대해 더 자세히 살펴보고 조직이 효과적으로 차단할 수 있는 조치를 취하는 것이 중요하다고 판단하였습니다.

LURE 공격은 기본적으로 신뢰를 기반으로 도메인을 분류하려는 웹 필터를 회피합니다. 공격자들은 이미 이러한 보안 시스템에 의해 신뢰되는 취약한 보안이 잘 되지 않은 웹사이트를 침해하고, 이를 통해 악성 코드를 전달하거나 사용자 자격 증명을 도용합니다. LURE 공격의 증가는 놀라운 상황입니다. 최근 2년 동안 LURE 전술은 950% 이상 증가한 것으로 나타났습니다. 이러한 공격은 피싱 페이지를 게시하고, 브라우저 취약점을 이용하며, 사용자 단말에 악성 파일을 전달하는 데 사용될 수 있습니다.

LURE 공격은 고도로 회피적이고 적응성이 뛰어난 위협(HEAT) 중 하나에 불과합니다. HEAT 공격은 웹 브라우저를 공격 경로로 선택하는 사이버 위협의 한 유형입니다. 이러한 공격은 현재의 보안 시스템에서 여러 검출 계층을 회피하는 기술을 사용합니다. 따라서 방화벽, SWG, 샌드박스 분석, URL 평판 및 피싱 검출과 같은 보안 기능을 우회하여 악성 소프트웨어를 전달하거나 자격 증명을 탈취하는 데 성공합니다. HEAT 공격은 종종 공격자가 악성 소프트웨어를 전달하거나 자격 증명을 탈취하는 초기 단계로 이어지며, 이는 랜섬웨어 공격에 성공하는 결과를 초래할 수 있습니다.

새로운 LURE 공격 식별

BleepingComputer는 최근의 보고서에서 LURE 공격을 다루었습니다. 이 기사는 일반적인 URL 단축 서비스와 함께 사용되는 역방향 터널 서비스의 증가를 통해 효과적인 피싱 캠페인의 일환으로 보안 연구원들이 관찰한 사례에 대해 자세히 다루고 있습니다.

LURE 공격을 통해, 위협 행위자들은 과거와 같이 공격에 사용할 도메인을 등록하고 구축할 필요가 없습니다. BleepingComputer가 보도한대로, 이러한 공격자들은 “피싱 페이지를 자신의 컴퓨터에 로컬로 호스팅하고 외부 서비스를 통해 연결을 라우팅할 수 있습니다. URL 단축 서비스를 사용하여 감지를 우회하기 위해 원하는 만큼 새로운 링크를 생성할 수 있습니다.”

이 전략을 사용하면, 공격자들은 공격의 효과를 떨어뜨리지 않기 위해 피싱 사이트에 대한 호스팅 제공업체로의 불만이 너무 빨리 들어오는 것을 걱정할 필요가 없습니다. 그리고 공격 대상을 타격할 때까지 필요한 만큼 링크를 생성할 수 있습니다. 이 두 가지 기술은 전통적인 평판 기반의 URL 필터링을 우회합니다.

공격자는 LURE 공격으로 창의력을 발휘합니다.

BleepingComputer이 보도한 LURE 공격은 Menlo Labs 연구팀이 최근 모니터링한 LURE 유형의 HEAT 공격의 가장 최근 사례 중 하나입니다. 다른 예로는 5월에 다룬 “Browser in the Browser” 캠페인 또는 BitB 공격이 있습니다. BitB 공격에서는 공격자가 보안이 약한 웹사이트를 침해하고, 페이스북이나 구글과 같은 신뢰할 수 있는 기관의 로그인 페이지로 위장한 가짜 팝업 창을 생성합니다. 이를 통해 악성 사이트가 잠재적 피해자에게 정당해 보이게 합니다. 팝업 창은 가짜이지만, 대부분의 피싱 공격과 마찬가지로 정당한 URL을 가지고 있을 수 있습니다. 물론, 팝업 코드는 로그인 자격증명을 획득하고, 그것이 가짜 창에 입력되면 그에 따라 작동하도록 설계되어 있습니다.

LURE 공격의 또 다른 예는 CAPTCHA 기능을 이용하여 악성 웹사이트를 정당하게 보이게 하고 사용자들을 유인하여 접근 자격 증명을 제공하도록 하는 것입니다. Menlo Labs에서도 이를 상세히 설명한 바 있습니다.

LURE 기반 랜섬웨어 공격 분석

공격자들은 자격 증명 수집부터 랜섬웨어 공격까지 다양한 목적으로 LURE 스타일의 HEAT 공격을 사용할 수 있습니다. 랜섬웨어 공격에서는 공격자가 보안 수준이 낮은 웹사이트를 감염시키기 위해 LURE HEAT 기법을 사용할 수 있습니다. 해당 웹사이트는 이미 좋은 평판을 가지고 신뢰되는 웹사이트로 분류되어 있기 때문에 웹 분류 도구나 다른 필터링 방어 시스템은 해당 사이트를 차단하거나 경고하지 않습니다.

예상 시나리오:

• 손상된 웹사이트는 검색 결과에 나타나는 악성 PDF를 호스팅합니다.
• 사용자가 SEO 중독 링크를 클릭하고 여러 HTTP 리디렉션 후 악의적인 1단계 맬웨어 페이로드가 엔드포인트에 다운로드됩니다.
• 공격자는 이 백도어 액세스를 활용하여 공격을 강화하기 위한 시스템 정보를 수집합니다.
• 이 시점에서 위협 행위자는 다크 웹을 통해 가장 높은 랜섬웨어 위협 행위자에게 액세스 권한을 판매하거나 자체적으로 페이로드를 전달할 수 있습니다.
• 랜섬웨어 공격자는 백도어를 통해 Cobalt Strike와 같은 공격 페이로드를 전달하여 네트워크 내에서 측면으로 이동할 수 있습니다.
• 공격자는 성공적인 Active Directory 위반을 통해 전체 도메인 손상을 얻습니다.
• 그런 다음 공격자는 연결된 모든 워크스테이션에 랜섬웨어를 배포합니다.

HEAT 공격은 매일 발생하는 LURE과 같은 공격으로, 엔드포인트에 진입한 후에 악성 소프트웨어를 전달하여 공격자가 조직 내에서 좀 더 넓고 깊은 곳으로 이동하는 것을 목표로 합니다. 이러한 공격에 대해 성공적으로 방어하기 위해서는 기업이 어떻게 취약할 수 있는지를 먼저 이해해야 합니다. 그런 다음 위험 요소를 완화할 수 있습니다.

LURE 공격 방어

조직이 이러한 유형의 공격을 예방하기 위해 Menlo에서 최근에 발표한 HEAT Security Assessment Toolkit은 경량의 침투 및 노출 평가를 제공하여 조직이 HEAT 공격에 취약한 정도를 더 잘 이해할 수 있도록 도와줍니다. HEATcheck 도구를 사용하면 보안 팀이 LURE 및 기타 HEAT 공격과 같은 HEAT 공격에 취약한 영역을 식별할 수 있는 경량의 침투 테스트를 실행할 수 있습니다. 이 평가는 현재 공격자들이 사용하는 여러 실제 HEAT 공격을 활용하여 보안 팀이 조직의 실제 노출 정도를 안전하게 판단할 수 있도록 도와줍니다.

HEAT Check 도구는 실제 악성 콘텐츠나 공격을 전달하지 않습니다. 대신, 기존의 HEAT 노출 위험을 테스트하기 위해 EICAR라는 업계 표준 파일을 사용합니다. EICAR는 유럽 컴퓨터 백신 연구소(EICAR)에서 개발한 표준 악성 소프트웨어 텍스트 파일입니다. EICAR 파일이 보안 스택 내에서 경고를 발생시키지 않고 전달되면, 그 보안 기술이 HEAT 공격에 대해 충분한 수준의 보호를 제공하지 않고 있다는 것을 증명합니다.

Menlo Security의 HEAT Analyzer App for Splunk을 통해 보안 팀은 HEAT Check 도구 외에도 사용할 수 있습니다. 이 앱은 Splunkbase에서 현재 제공되고 있습니다. 이를 통해 조직은 외부로 데이터를 공유하는 위험 없이 네트워크에 영향을 줄 수 있는 HEAT 공격에 대한 가시성을 얻을 수 있습니다. 이 평가 도구는 고객의 웹 트래픽을 분석하여 HEAT 공격에 대한 취약성이 있는지 여부를 확인하고 현재 네트워크에서 HEAT 노출 형태를 식별합니다.