드라이브 바이 어택 증가: 소코홀릭 멀웨어 다운로드

Menlo Labs는 합법적인 브라우저, 플래시 및 Microsoft Teams 업데이트를 가장하는 드라이브 바이 공격이 증가하고 있음을 발견했습니다. 지난 두 달 동안 Menlo Labs 팀은 “SocgHolish” 프레임워크를 사용하여 피해자를 감염시키는 드라이브 바이 다운로드 공격이 급증하는 것을 목격했습니다.이 특정 프레임워크는 합법적인 소프트웨어 업데이트로 가장하여 악성 페이로드를 전송하는 데 널리 사용되는 것으로 알려져 있습니다.격리는 이러한 유형의 공격이 페이로드를 엔드포인트로 전달하는 것을 방지합니다.우리가 알고 있는 내용은 다음과 같습니다.

드라이브 바이 어택이란?

드라이브 바이 공격은 사용자가 감염된 웹 사이트를 방문했을 때 웹 사이트가 사용자 개입 없이 악의적인 다운로드를 트리거하는 것입니다.

소크홀리쉬란 무엇인가?

“SocgHolish” 프레임워크에서 “Soc”라는 용어는 공격이 소프트웨어 업데이트로 가장한 소셜 엔지니어링 툴킷을 사용하는 것을 말합니다.지금까지 Menlo는 브라우저 업데이트 (Chrome/Firefox), Flash Player 업데이트, 그리고 최근에는 Microsoft Teams 업데이트를 가장한 몇 가지 소셜 엔지니어링 테마를 사용하여 이 특정 프레임워크를 관찰했습니다.

Menlo Labs는 또한 악성 웹 사이트의 iframe에서 제공되는 가짜 Google 드라이브 공유 링크 사이트를 발견했습니다. 하지만 악성 ZIP 파일은 Google 드라이브에서 호스팅됩니다.ZIP 파일에는 실행 시 추가 멀웨어를 다운로드하는 JScript 파일이 내장되어 있습니다.

SocGholish는 야생에서 어떻게 작동합니까?

다음 다이어그램은 SocgHolish 프레임워크에서 사용되는 일반적인 킬 체인을 보여줍니다.

브라우저 컨텍스트 내 SocgHolish 프레임워크에 대한 두 가지 주요 관찰 사항:

• 공격자는 손상된 웹 사이트를 호스팅하고 서비스를 제공할 방법을 선택합니다. 일반적으로 iframe을 통해 손상된 웹 사이트에 서비스를 제공한 합법적인 웹 사이트를 조합하여 사용합니다.
• 드라이브 바이 다운로드 메커니즘은 악성 ZIP 파일을 엔드포인트로 다운로드하도록 트리거하는 데 사용됩니다.다음 섹션에서는 이 프레임워크에서 사용하는 특정 메커니즘을 자세히 살펴보겠습니다.

악성 ZIP 파일 내부의 콘텐츠를 추출하고 실행하기 위해서는 여전히 사용자 상호 작용이 필요하지만, 바로 이 부분에서 파일 출처의 소셜 엔지니어링과 신뢰가 필요합니다.파일은 합법적인 사이트 내의 iframe에 호스팅되기 때문에 사용자는 이 파일이 다른 사이트에서 가져온 것이라고 착각하게 됩니다. 합법적인 출처 파일을 다운로드하여 실행하도록 권장합니다.악성 ZIP 파일에는 실행 시 존재하는 바이너리 (PowerShell/CMD 등) 를 사용하여 악의적인 다운로드를 가져오는 JScript 파일이 내장되어 있어 최종 멀웨어를 다운로드하기 위한 추가 명령 및 제어 통신을 제공합니다. 이 프레임워크는 다음과 같은 이점을 제공합니다. 초기 액세스 끝점까지.과거 연구를 통해 이 프레임워크가 Dridex 뱅킹 트로이 목마와 WastedLocker 랜섬웨어 제품군의 변종을 배포하는 것을 확인했습니다.

분류가 SocgHolish를 차단하지 않는 이유는 무엇입니까?

악성 사이트의 콘텐츠를 제공하는 데 사용되는 iframe은 다운로드 사이트나 비교적 인기 있는 웹사이트가 자주 호스팅되는 기타 카테고리와 같이 합법적인 카테고리로 분류된 사이트에서 호스팅됩니다.

악성 ZIP 파일은 일반적으로 널리 사용되는 클라우드 호스팅 공급자로부터 제공됩니다.다음 차트는 이러한 악성 ZIP 파일을 호스팅하는 데 사용된 특정 서비스 공급자의 분석을 보여줍니다.

어떤 공격 벡터가 사용되고 있나요?

분석을 통해 SocgHolish 프레임워크에서 사용하는 드라이브 바이 다운로드 메커니즘에는 악성 페이로드를 전달하기 위한 브라우저 악용이나 익스플로잇 키트가 포함되지 않았음을 알 수 있습니다.사용된 소셜 엔지니어링 테마에 따라 드라이브 바이 다운로드를 트리거하는 데 사용되는 메커니즘은 다음과 같습니다.

1) 급수 구멍 사용:

피해자는 Alexa 상위 10만 순위 내에서 비교적 인기 있는 웹 사이트를 방문하도록 유인됩니다. 이 웹 사이트에서는 공격자가 일련의 리디렉션을 통해 사용자를 보내 악의적인 다운로드를 트리거하는 iframe을 설치합니다.

• 이러한 리디렉션은 일반적으로 일반적으로 사용되는 클라우드 호스팅 서비스 (위 예시의 Bitbucket) 에서 가져온 것입니다.
• 악성 ZIP 파일을 전송하기 위한 최종 URL은 Amazon S3에서 제공됩니다.
• 웹 사이트 분류에 의존하여 다운로드를 검사하는 모든 접근 방식은 ZIP 파일이 Amazon S3에서 다운로드된 것으로 간주하도록 속입니다.

2) 자바스크립트를 사용하여 블럽 다운로드를 트리거하기:

공격자는 WordPress와 같은 콘텐츠 관리 시스템에서 호스팅되는 손상된 사이트를 선택하여 JavaScript Blob을 사용하여 ZIP 파일 다운로드를 자동으로 트리거하는 iframe을 주입합니다.

이 메커니즘은 최근에 작성한 DURI 캠페인과 매우 유사합니다.전체 페이로드가 엔드포인트 내에 구성되기 때문에 이 방법은 일반적으로 페이로드를 밀수하고 레거시 네트워크 프록시와 샌드박스를 우회하는 데 사용됩니다.

3) JavaScript를 사용하여 링크를 동적으로 생성하여 다운로드를 트리거합니다.

이것이 sites.google.com 가짜 공유 테마에서 관찰한 메커니즘입니다.

• 공격자는 sites.google.com을 사용하여 iframe을 통해 악성 사이트를 전송합니다.
• iframe은 다운로드 링크 요소를 동적으로 생성하고 클릭을 시뮬레이션하여 악성 ZIP 다운로드를 트리거하는 JavaScript를 로드합니다.
• 다운로드 링크는 합법적인 Google 드라이브 링크에서 호스팅되는 ZIP 파일을 동적으로 가리킵니다.

iframe과 관련된 브라우저 보안 제어에 대한 참고 사항

최근에 크롬 과 파이어폭스 개발자는 샌드박스 처리된 iframe의 다운로드를 자동으로 차단하는 보안 기능을 추가했습니다.위 기술에서는 다음 설정으로 지정된 iframe에서 다운로드가 허용되었습니다.

• “샌드박스” 속성을 지정하지 않고 iframe을 주입했습니다. 그러면 iframe에서만 다운로드할 수 있습니다.
• sites.google.com 예제에는 '샌드박스' 속성이 있는 iframe이 있지만 '다운로드 허용', '허용 스크립트', '허용 양식' 등도 설정되어 있습니다.

반드시, 안전하게, 보안을 유지하세요

연말 연시가 다가오고 2020년이 끝나가는 지금, 합법적인 소프트웨어 업데이트를 가장하여 악성 페이로드를 전달하는 이러한 유형의 정교한 공격에 주의를 기울이는 것이 중요합니다.Chrome을 비롯한 많은 브라우저에는 SocgHolish에서 요구하는 프롬프트가 필요 없는 자동 패치 및 업데이트 기능이 있다는 점을 기억하세요. 아니면 네이티브 사용자 경험에 영향을 주지 않으면서 엔드포인트에서 콘텐츠 (위험하든 그렇지 않든) 가 실행되지 않도록 하여 모든 웹 기반 공격을 방지하는 유일한 보안 기술인 격리 구현에 대해 생각해 볼 때일 수도 있습니다.간단합니다. 악의적인 공격자는 액세스할 수 없는 대상을 감염시킬 수 없습니다.menlosecurity.com에서 격리에 대해 자세히 알아보세요.