웹 브라우저가 중요한 기업 생산성 앱이 아니었던 시절은 상상하기 어렵습니다.1990년대에 태어난 많은 기업 근로자들은 웹 브라우저가 거의 모든 사무용 애플리케이션에 액세스할 수 있는 기본 창이 아니었던 때를 기억하지 못할 것입니다.
오늘날 웹 브라우저는 직원이 비즈니스를 수행하는 데 사용하는 사실상의 엔터프라이즈 앱입니다.그리고 웹 브라우저는 우리가 소통하고, 일하고, 즐기는 방식에 혁명을 일으켰습니다.
오늘날 사이버 범죄자들은 상상할 수 있는 거의 모든 엔터프라이즈 애플리케이션에 액세스하는 데 웹 브라우저가 성공했기 때문에 오늘날 사이버 범죄자들이 엔터프라이즈 애플리케이션 및 데이터에 액세스하기 위해 끊임없이 웹 브라우저를 진입 지점으로 삼고 있습니다.그리고 이들은 성공을 위해 점점 더 회피적인 공격 기법을 사용하고 있습니다.
이 전략은 효과가 있는 것으로 입증되었습니다. 주로 기존의 보안 도구로는 브라우저를 적절하게 보호하지 못하거나 점점 더 많아지는 회피 웹 위협으로부터 방어하지 못하기 때문입니다.
이러한 매우 회피적인 위협 중 하나는 HTML 밀수 공격으로, 널리 사용되는 HTML5 기능을 이용하여 기존의 보안 방어를 우회합니다.보안팀이 오늘날의 위협 행위자로부터 시스템과 데이터를 성공적으로 방어하려면 HTML 밀수 공격의 특성과 이를 차단하는 최선의 방법을 이해하는 것이 필수적입니다.
HTML 밀수 공격은 HTML5 특성을 사용하여 멀웨어 및 자격 증명 도용 피싱 공격을 전달합니다.공격자는 일반적으로 두 가지 방법 중 하나로 특수 제작된 HTML 첨부 파일 또는 웹 페이지 내에 인코딩된 악성 스크립트를 “밀수”합니다. 하나는 다운로드 이벤트를 사용하여 데이터 유니폼 리소스 표시기 (URI) 를 통해 대상 피해자의 장치에 페이로드를 전달하거나 방화벽 뒤에서 대상 피해자의 장치로 다운로드 성공 이벤트를 트리거하는 JavaScript Blob이라는 것을 생성합니다.
공격자는 성공을 보장하기 위해 검증된 소셜 엔지니어링 기술을 사용하고 Adobe Acrobat, Dropbox 및 Google Drive와 같은 유명하고 신뢰할 수 있는 온라인 브랜드를 가장하기도 합니다.표적이 된 피해자가 일반적으로 이메일이나 소셜 미디어 메시징을 통해 전달되는 링크를 클릭하면 HTML 밀수 과정은 최종 파일 중 개별적이고 개별적으로 악의적이지 않은 것으로 보이는 부분들이 다운로드되면서 시작됩니다.별도의 페이로드 요소가 모두 다운로드되면 엔드포인트에서 악성 페이로드가 어셈블됩니다.
이 “다단계 전송” 기법은 레거시 프록시의 샌드박스 및 안티바이러스를 비롯한 다양한 방화벽과 네트워크 보안 솔루션을 효과적으로 우회합니다.또한 Secure Web Gateways에서 차단한 것으로 추정되는 파일 형식은 여전히 HTML 밀수를 통해 엔드포인트로 전송되고 있습니다.
HTML 밀수 기술은 어떻게 기존의 보안 방어를 그렇게 쉽게 우회할 수 있을까요?이러한 도구는 일반적으로 서명과 패턴을 기반으로 의심스러운 첨부 파일이나 변칙 트래픽만 검사합니다.HTML 밀수가 어떻게 샌드박싱을 회피하는지 생각해 보세요.
HTML 밀수는 혁신적인 악성 코드 전송 모드를 구현하여 샌드박싱을 비롯한 기존 보안 프로토콜을 능숙하게 우회합니다.HTML 밀수는 보안 조치로 가로채서 차단할 수 있는 악성 파일을 직접 다운로드하는 대신, 겉보기에 무해한 JavaScript 얼룩 또는 하위 구성 요소 내에 악성 코드의 아주 작은 조각을 삽입합니다.
샌드박스에서 디코딩할 수 있는 형식이 아닌 이러한 작은 얼룩은 분석되지 않은 상태로 남아 있습니다.개별적으로 보면 유해한 행동을 보이지 않으므로 샌드박스 내에서 어떤 경고도 트리거하지 않습니다.그러나 겉보기에 무해해 보이는 이러한 블롭은 사용자 개입 없이 로컬 브라우저 수준에서 자체적으로 손상을 입히는 실행 파일로 재구성할 수 있습니다.
이러한 독창적인 접근 방식을 통해 기존 파일 콘텐츠 검사 엔진의 이해를 효과적으로 피하고 샌드박싱 조치를 피할 수 있습니다. 이는 기존 사이버 보안 방어의 심각한 맹점을 보여줍니다.
또한 공격자는 난독화 기술을 사용하여 악성 코드가 탐지되지 않도록 숨깁니다.공격자는 Base64 인코딩을 사용한 다음 엔드포인트에서 이를 디코딩합니다.또한 이로 인해 보안 도구가 악의적인 활동을 탐지하기 어렵습니다.또한 HTML 밀수 공격은 이러한 기술을 바이너리 데이터로 사용하여 웹 프록시 방어를 회피하며, 사용자의 웹 브라우저가 열릴 때 파일 개체로 디코딩될 수 있는 JavaScript 코드에 내장됩니다.
전반적으로 HTML 밀수 공격은 고도로 회피하도록 설계되었으며 표준 경계 보안 제어를 우회할 수 있어 조직에 심각한 위협이 됩니다.HTML 밀수 공격의 증가는 브라우저가 조직의 가장 취약한 링크 중 하나가 되었기 때문에 공격자의 성공이 원인일 수 있습니다.실제 HTML 밀수 공격의 예를 살펴보겠습니다.
노벨륨으로 알려진 러시아 사이버 범죄 집단 악명 높은 SolarWinds 공격의 배후에 있는 그룹은 HTML 밀수를 사용하여 멀웨어를 전달하는 것으로 악명이 높습니다.국가 위협 행위자인 이 단체는 최근 정부 기관에 대한 거점을 확보하려는 대규모 스파이 공격의 일환으로 HTML 밀수를 사용하기도 했습니다.
일부 공격에서 노벨륨은 표적이 된 개인에게 스피어 피싱 이메일을 보내 악성 JavaScript 파일을 호스팅하는 웹 사이트로 리디렉션되는 링크를 클릭하도록 유도했습니다.자바스크립트 파일 때문에 HTML 밀수 공격이 시작되었는데, 페이로드는 겉보기에 무해해 보이는 이미지 파일 안에 숨겨져 있었습니다.브라우저는 HTML과 JavaScript를 사용하여 이미지 파일을 로드하고 디코딩한 후 악성 코드를 실행하여 공격자가 피해자의 시스템에 액세스할 수 있도록 했습니다.
이 기술은 네트워크 트래픽을 검사하거나 알려진 악성 도메인을 차단하는 데 의존하는 기존의 여러 보안 조치를 우회했기 때문에 효과적이었습니다.공격자는 HTML 밀수를 통해 겉보기에 무해해 보이는 웹 트래픽 내에 악의적인 활동을 숨길 수 있었기 때문에 보안 도구로는 공격을 탐지하고 차단하기가 어려웠습니다.
또 다른 HTML 밀수 캠페인 아이소모프 (Isomorph) 라고 함, 인기 있는 Discord 메시징 앱을 사용하여 악성 페이로드를 호스팅했습니다.이 공격은 앞서 언급한 Javascript Blob을 활용하여 웹 브라우저 내 대상 엔드포인트에 악성 파일을 구축했습니다.
CSO Online의 보고서에서 Trustwave SpiderLabs는 Adobe PDF 뷰어 테마의 위장 행위를 통해 코발트 스트라이크 멀웨어를 삭제한 피싱 이메일 HTML 첨부 파일을 발견했다고 밝혔습니다.
CSOOnline은 SpiderLabs의 말을 인용하여 “HTML이 로드되면 LNK [Windows 단축키] 파일이 포함된 ISO 파일을 삭제합니다. 이 파일을 클릭하면 페이로드 실행 시퀀스가 시작됩니다.”“LNK 파일은 PowerShell을 시작하여 '.ps1'이 아닌 '.log' 확장자로 가장한 PowerShell 스크립트를 실행합니다.CSO는 확장자를 수정하면 방어 수단을 회피하려 하고 사용자가 이 파일을 일반적인 로그 파일이라고 생각하게 만듭니다.” 라고 썼습니다.
이러한 기술은 매우 효과적이어서 MITRE ATT&CK 프레임워크는 공격자가 초기 액세스 권한을 얻기 위해 사용하는 기법으로 HTML 밀수를 해결합니다.특히 HTML 밀수는 “에 해당됩니다.대체 프로토콜을 통한 유출“(T1048): 비표준 프로토콜이나 채널을 사용하여 손상된 시스템에서 데이터를 유출하는 것을 말합니다.
HTML 밀수 문제로 인해 기존 보안 방어 체계를 우회할 수 있음 샌드박스, 이메일 보안 엔진, 웹 게이트웨이 등과 같은 HTML 밀수 공격을 고도로 회피적인 적응 위협 (HEAT) 또는 HEAT 공격으로 분류합니다.이러한 위협은 클라우드 및 서비스형 소프트웨어 (SaaS) 애플리케이션의 등장으로 인기가 높아졌습니다.기존 보안 도구는 브라우저를 통해 흐르는 데이터와 연결이 아니라 설치된 애플리케이션과 로컬 네트워크 트래픽을 보호하도록 설계되었기 때문에 일반적으로 웹 브라우저에서 액세스하는 클라우드 서비스는 브라우저를 이상적인 공격 대상으로 만듭니다.
HTML 밀수 공격은 매우 신속하게 실행되고 공격자가 현재의 엔터프라이즈 웹 브라우저 보안 취약점을 악용할 수 있기 때문에 엔터프라이즈 데이터 및 시스템에 대한 이러한 공격은 여전히 매우 위험합니다.이러한 공격으로부터 스스로를 성공적으로 방어하는 기업은 사용자 웹 브라우저의 보안을 효과적으로 강화하는 기업일 것입니다.
이러한 회사의 효과적인 웹 브라우저 보안은 어떤 모습일까요?브라우저 활동에 대한 가시성을 높이고 HTML 밀수와 같은 HEAT 공격을 실시간으로 탐지하고 대응할 수 있는 기술을 배포하는 데 확실히 초점을 맞출 것입니다.
HEAT 공격에 대해 효과적인 것으로 입증된 또 다른 중요한 방어 기술은 원격 브라우저 내에서 웹 세션을 격리하여 엔드포인트 외부에서 페이지 요청을 실행할 수 있도록 하여 안전하고 위생화된 버전의 웹 세션만 최종 사용자에게 반환하는 격리 기술입니다.
조직의 경우 더 이상 지체할 시간이 없습니다.위협 행위자는 지속적으로 전략을 업데이트하고 회피 위협을 사용하여 브라우저를 표적으로 삼습니다.보안 팀은 스스로를 성공적으로 방어하기 위해 웹 브라우저 내에서 가시성과 통제력을 높일 수 있도록 방어 체계를 조정해야 합니다.또한 공격자가 사용하는 변화에 적응하고 시스템과 데이터를 동적으로 방어하는 보안 제어 기능을 배포해야 합니다.
