뉴스:
멘로 시큐리티, 구글과 전략적 파트너십 발표
__wf_예약_상속

기존 URL 평판 회피 (LURE) 공격이 현재 보안 기술을 쉽게 우회하는 방법

Neko Papez
|
July 9, 2023
__wf_예약_상속

완전 원격 근무든, 사무실 내 근무든, 혼합형 업무 방식이든 관계없이 직원들이 일하는 방식과 장소에 대한 논의는 계속되고 있습니다.하지만 어떻게 될지 짐작하시죠?사이버 범죄자들에게는 이런 대화가 별로 중요하지 않습니다.조금도 안 돼요그 이유는 오늘날의 기업 근로자가 어디에 거주하든, 업무가 지리적으로 어디에서 이루어지든, 웹 브라우저 내에서 디지털 방식으로 이루어지기 때문입니다.오늘날 웹 브라우저는 작업을 완료하는 데 가장 많이 사용되는 도구입니다.이는 우리가 소통하고, 일하고, 즐기는 방식을 완전히 바꿔놓았습니다.그 중요성은 부인할 수 없습니다.

마찬가지로 공격자는 브라우저의 중요성을 부인할 수 없습니다.또한 이들은 소셜 엔지니어링과 웹 브라우저에서 발견된 취약점을 통해 기업 시스템과 데이터를 공격할 때 회피 기술을 사용하고 있습니다.최근에 HTML 밀수를 포함한 몇 가지 방법을 다루었습니다. 암호로 보호된 악성 파일, 및 MFA 바이패스 공격.그러나 Menlo Labs 연구팀이 추적한 유일한 회피 공격 기법은 아닙니다.

이러한 또 다른 공격은 레거시 URL 평판 회피 (LURE) 공격으로 알려져 있습니다.LURE 공격은 기업 사용자가 악의적이거나 손상된 웹 사이트를 방문하지 못하도록 보호하는 데 사용되는 웹 필터를 우회하도록 설계되었으며 이를 성공적으로 수행합니다.쿠키는 주로 웹 사이트의 평판을 평가하고 사용자가 나쁜 사이트가 있는 사이트에 접근하지 못하도록 차단하는 데 기반을 두고 작동합니다.공격자들은 이제 이 시스템을 자신에게 유리하게 이용하고 있습니다.루어 공격이 증가하고 있습니다.멘로 랩스 연구팀이 멘로 고객 데이터를 분석한 결과, 2021년 7월부터 2022년 7월까지 70% 증가한 것으로 나타났습니다.

루어 공격이란 무엇인가요?

LURE 공격은 위협 행위자가 신뢰를 기반으로 도메인을 분류하려는 웹 필터를 회피하는 데 사용됩니다.공격자는 신뢰할 수 있는 웹 사이트에 멀웨어를 성공적으로 침투시킴으로써 URL 필터링 보안 방어를 효과적으로 우회할 수 있습니다.그 결과 위협 행위자는 맬웨어에 감염된 웹 사이트를 사용하여 엔드포인트를 손상시키고 사용자 자격 증명을 훔칩니다.

위협 행위자는 보다 표적화된 공격의 경우 시간이 지남에 따라 좋은 평판을 얻기 위해 새로운 웹 사이트를 구축하고 해당 사이트가 웹에서 제대로 운영되도록 내버려 둘 수도 있습니다.결국 이들은 이러한 웹 사이트의 행동을 뒤집어 공격 캠페인을 시작하고 URL 분류 엔진을 깜짝 놀라게 할 것입니다.또한 스피어 피싱 이메일을 통해 피해자를 이러한 사이트로 유인할 수도 있습니다.

또한 공격자는 CAPTCHAS와 같은 기존의 방어 수단의 사용을 뒤집어 성공 가능성을 높입니다.CAPTCHAS는 API 봇으로부터 인간 사용자를 인증할 수 있도록 개발되었지만, 이제 위협 행위자는 이 기술을 사용하여 웹 분류 크롤러를 차단하고 이러한 분류 크롤러로부터 실제 사이트 특성을 숨깁니다.

이러한 다양한 LURE 예제를 사용하여 피싱 페이지를 게시하고, 브라우저 익스플로잇을 실행하고, 사용자 엔드포인트에 악성 파일을 전송할 수 있습니다.

LURE 공격이 기존 웹 필터를 무력화하는 방법

LURE 공격은 무해하고 신뢰할 수 있는 웹 사이트를 악성 웹 사이트로 빠르게 전환하여 기존 웹 필터를 회피하기 때문에 이러한 공격은 순식간에 대규모 사용자 풀을 손상시키는 경향이 있습니다.웹 및 DNS 필터는 이미 알려진 악성 웹 사이트를 효율적으로 차단하지만 이러한 기술 내의 분류 엔진과 거부 목록은 초기 루어 공격을 차단할 만큼 신속하게 작동하지 않습니다.

이러한 URL 필터는 URL의 평판을 기반으로 사이트가 좋은지 나쁜지를 판단할 때 일반적으로 1차 방어선이었습니다. 이 URL 필터는 20년 이상 동안 유효했습니다.안타깝게도 공격자들은 이러한 방어 수단을 우회하는 방법을 익혔습니다.하지만 이러한 방어 수단은 범죄자들이 악성 웹 사이트를 만들고 그 위에 멀웨어를 호스트한 다음 최선을 다해 해당 사이트로 트래픽을 유도하는 시기를 염두에 두고 설계되었습니다.웹 사이트의 성격이 파악되면 URL 필터는 해당 URL을 차단하여 이러한 공격을 차단합니다.

위협 행위자는 회피형 LURE 공격을 통해 이러한 필터보다 더 효과적인 기술을 개발해 왔습니다.게다가 루어 개선도 아직 끝나지 않았죠.그들은 계속해서 좋은 평판을 가진 웹 사이트를 만들고 있으며 결국에는 효과적인 LURE 공격 캠페인을 시작할 사이트로 전환하게 될 것입니다.

이러한 이유로 당사는 LURE 공격을 고도로 회피적인 적응 위협 (HEAT) 으로 분류합니다.

HEAT 공격은 클라우드 서비스 및 서비스형 소프트웨어 애플리케이션의 등장으로 위협 행위자들 사이에서 인기가 높아졌습니다.웹 브라우저에서 액세스하는 클라우드 서비스는 그 특성상 브라우저가 디지털 공격의 이상적인 표적이 됩니다.또한 기존 보안 도구는 엔드포인트에 설치된 애플리케이션과 로컬 네트워크를 통해 흐르는 트래픽을 보호하도록 설계되었으므로 브라우저 내의 데이터와 연결을 보호할 때는 효과가 떨어집니다.

Palo Alto Networks에 따르면 피싱 키트의 90% 는 기존의 웹 보안을 무용지물로 만드는 회피 기술을 사용합니다.

루어 공격의 실제 사례

최근 루어 스타일의 HEAT 공격이 발생한 사례가 많이 있습니다.올해 초, SEO 중독 전술과 “Gootloader”로 알려진 멀웨어를 이용해 금융 및 의료 산업을 표적으로 삼고 있는 “공격적 위협 행위자”에 대한 뉴스가 나왔습니다.

SC Magazine은 “공격자들은 웹 사이트를 만들거나 웹 포럼 또는 유사한 웹 사이트를 특정 키워드와 링크로 채워 감염된 파일을 호스팅하는 웹 사이트로 유도합니다.” 인용 연구원들이 말한 것처럼.

최근의 또 다른 공격에서 기술 뉴스 사이트인 BleepingComputer는 다음과 같은 피싱 캠페인에 대한 분석을 제공했습니다. 악성 구글 광고 활용 피싱 사이트 결과를 Google 검색결과에 배치합니다.공격자들은 아마존 웹 서비스 (AWS) 로그인 자격 증명을 표적으로 삼았습니다.

효과적인 SEO 덕분에 “AWS”를 검색했을 때 악성 광고가 2위를 차지했습니다.사용자가 악성 광고 중 하나를 클릭했을 때 블로거의 웹사이트로 연결되었습니다.이 LURE 공격에서 웹 사이트는 실제 AWS 로그인 페이지처럼 보이는 페이지를 호스팅했습니다.

마찬가지로, 다음과 같은 악명 높은 그룹 북한 국영 배우 라자루스 그룹 LURE 공격을 사용하는 것으로 나타났습니다.VIPER 스피어 피싱 캠페인도 있었습니다. 칵봇 캠페인및 루어 스타일 공격을 사용하는 기타 국가 위협 행위자.

Menlo Labs에서 분석한 5백만 개 이상의 악성 URL 중 HEAT 공격의 50% 가 분류된 웹 사이트에서 발생하는 등 이러한 공격이 널리 퍼지고 있습니다.

루어 공격을 방지하는 방법

LURE 공격과 같은 HEAT 공격을 효과적으로 방어하려면 기업은 사용자 웹 브라우저의 보안을 개선해야 합니다.기업은 브라우저 격리 기술과 같이 웹 브라우저 내에서 이벤트를 실제로 실행함으로써 난독화된 JavaScript 코드와 같이 웹 트래픽 내부에서 발생하는 실제 이벤트를 모니터링하고 HEAT 공격이 피해를 입기 전에 식별할 수 있습니다.

또한 브라우저 활동을 분석하고 악의적인 의도를 파악하는 데 사용되는 브라우저 격리 기술을 사용하면 동적 보안 정책을 호출하여 위협이 최종 사용자의 브라우저에 도달하지 못하도록 방지할 수 있습니다.문서별 보안 정책을 HEAT 다운로드 (최종 사용자를 위험으로부터 보호하는 격리된 모드에서 보거나 다운로드) 에도 적용할 수 있습니다.

기업 보안 팀은 LURE와 같은 HEAT 공격으로부터 사용자, 시스템 및 데이터를 보호하는 방법을 이해해야 합니다.인력이 원격으로 작업하든, 현장에서 작업하든, 아니면 둘 다로 작업하든 관계없이 공격자는 중요하지 않습니다. 공격자는 작업자가 항상 업무를 수행하는 곳, 즉 웹 브라우저를 공격 대상으로 삼을 것이기 때문입니다.

블로그 카테고리
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속