월드 투어:
Menlo의 보안 엔터프라이즈 브라우저를 통해 어떻게 공격자보다 한 발 앞서 나갈 수 있는지 실시간으로 살펴보세요.
__wf_예약_상속

암호로 보호되는 악성 파일: 보안 정책보다 비즈니스 의사 결정의 우선 순위를 정하는 문제

Neko Papez
|
April 30, 2023
__wf_예약_상속
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속
__wf_예약_데코레이션

공격자들은 엔터프라이즈 사이버 보안 방어를 회피하기 위한 새로운 방법을 끊임없이 개발하고 있습니다.피싱 공격과 멀웨어 전달이 어떻게 진화하고 있는지 모두 생각해 보십시오.이 경우에는 암호로 보호된 파일을 통해 엔드포인트를 감염시킵니다.모든 조직의 위험이 커지고 있습니다.

예전에는 의심하지 않는 표적의 자격 증명을 도용하거나 멀웨어 페이로드를 배포하기 위한 피싱 공격이 거의 모두 이메일을 통해 전달되던 시기가 있었습니다.이제 그만.오늘날 이메일은 예전처럼 유일한 커뮤니케이션 채널로서의 위상을 잃었기 때문에 위협 행위자들은 점점 더 문자, 소셜 미디어 다이렉트 메시징, 협업 도구 같은 다른 커뮤니케이션 채널을 표적으로 삼고 있습니다.공격자들은 다양한 소셜 미디어 커뮤니케이션 채널로 눈을 돌리고 소셜 엔지니어링 전략을 개선하고 있을 뿐만 아니라또한 이들은 오래되고 매우 효과적인 회피 기법을 사용하고 있습니다. 바로 악성 페이로드가 포함된 암호로 보호된 파일입니다.

그들의 목표는 기업이 이메일을 보호하기 위해 마련한 바이러스 백신, 콘텐츠 필터, 서명 기반 보안 도구 등의 보호 기능을 우회하는 것입니다.공격자는 이메일과는 다른 통신 채널을 통해 피싱 공격을 보내 새로운 전달 경로를 찾고 암호화를 통해 악성 페이로드를 교묘하게 숨깁니다.

암호로 보호되는 악성 파일은 무엇인가요?

공격자는 일반적으로 피싱 이메일을 통해 전송되는 암호로 보호된 파일을 사용하여 널리 사용되고 합법적인 파일 형식 내에서 페이로드를 난독화합니다.공격자는 이러한 파일 내의 페이로드를 암호화하므로 기존의 맬웨어 방지 엔진과 콘텐츠 필터로는 이러한 악성 콘텐츠를 식별하고 차단하기가 훨씬 더 어려워집니다.맬웨어에 감염된 암호로 보호되는 파일의 위험에도 불구하고 대부분의 조직에서는 이메일 게이트웨이에서 해당 파일을 차단하지 않기로 결정했습니다. 이는 생산성을 크게 떨어뜨릴 수 있기 때문입니다.

공격자가 악성 페이로드를 전송하기 위해 가장 자주 사용하는 암호로 보호된 파일에는 Microsoft Word 및 Excel (Microsoft가 Word 문서에서 매크로를 사용하지 않도록 설정한 이후 더 흔하게 사용되고 있음), PDF 파일 및 ZIP 파일이 포함됩니다.

이러한 공격이 어떻게 작동하는지 살펴보겠습니다.

겉보기에 무해해 보이는 암호로 보호된 파일이 이메일을 통해 전송되어 보안 방어 체계를 우회하고 엔드포인트를 감염시키는 방법:

암호로 보호된 파일은 암호화되어 있기 때문에 암호 없이는 액세스할 수 없기 때문에 파일을 열고 검사할 수 없는 대부분의 보안 도구로는 읽을 수 없습니다.이것이 일반적인 조직의 방어 체계에 어떤 부정적인 영향을 미치는지 생각해 보십시오. 위협 행위자는 소셜 미디어 메시징이나 이메일을 통해 암호로 보호된 파일을 전송합니다.공격자는 공격의 소셜 엔지니어링 측면에 신뢰성을 더하기 위해 인보이스나 재무 정보와 같이 대상을 유인하는 파일 이름을 사용합니다.또한 공격자는 때때로 별도의 통신을 통해 보호 대상 파일의 암호를 문자나 이메일로 보내 합법성을 높이려 합니다.

그러면 멀웨어가 포함된 암호로 보호된 파일은 다음과 같은 작업을 수행할 수 있습니다.

네트워크 또는 게이트웨이 보안 방어 회피

파일은 일반적으로 사용되는 파일 확장명으로 암호화되기 때문에 조직에서는 파일이 이메일 게이트웨이를 통해 모든 보안 샌드박스나 자동 분석 도구 (암호가 필요 없음) 를 통해 사용자에게 전달되도록 허용합니다.이 파일이 네트워크 보안 검사 엔진을 발견하면 (비즈니스 생산성 문제 때문에) 최종 사용자에게 다시 전송될 수 있습니다.

엔드포인트 탐지를 피하세요

피싱 이메일과 첨부 파일이 마침내 엔드포인트에 도달합니다.공격자는 신뢰할 수 있는 공급업체로 가장하든, 조직의 다른 부서에 소속된 사람으로 가장하든 관계없이 일정 비율의 사용자를 속여 첨부 파일을 클릭하고 제공된 암호를 입력하도록 합니다.사용자가 문서 또는 포함된 링크를 클릭하면 웹 브라우저가 실행되고 엔드포인트가 감염되었습니다.

위에서 언급한 것처럼 공격자는 이메일을 아예 건너뛰고 소셜 미디어 채널을 활용하여 피싱 공격을 퍼뜨릴 수 있습니다.여기서 공격자는 웹 브라우저를 시작하고 Box, Dropbox 또는 Google Drive와 같은 외부 스토리지 서비스로 이동하는 링크가 포함된 소셜 미디어 메시지를 보냅니다.이 시나리오에서는 암호로 보호된 악성 파일이 엔드포인트에 자동으로 다운로드됩니다.사용자가 파일을 클릭하고 암호를 입력합니다.공격은 이메일이 필요하지 않다는 점을 제외하면 위와 동일합니다.전체 공격은 앱과 웹 브라우저 내에서 발생하거나 웹 브라우저에서만 발생합니다.

암호로 보호된 파일이 공격에 사용되는 예가 많이 있습니다.몇 가지 예를 들자면 다음과 같습니다.

  • 북한 라자루스 그룹 는 이러한 기술을 활용하는 공격자의 예입니다.이 단체는 러시아 조직을 추적하던 중 ZIP 파일 안에 숨어 있는 악성 Office 문서를 전송했습니다.대상 개인이 ZIP 파일을 클릭하면 사용자는 합법적인 Word 문서로 보이는 문서를 열곤 했습니다.이 문서는 대상 컴퓨터를 감염시키기 시작하는 매크로를 실행합니다.US-CERT에 따르면 트로이 목마는 기기 구성 데이터에 액세스하고, 파일을 다운로드하고, 명령을 실행하고, 시스템 레지스터를 수정하고, 모니터에 표시된 내용을 화면 캡처하고, 데이터를 유출합니다.
  • 중국 국가 위협 행위자 어스 프레타 최근에 시작했습니다. 공격 캠페인 악성 링크가 포함된 스피어 피싱 이메일과 함께링크는 암호로 보호된 악성 파일을 가지고 클라우드 스토리지 제공업체에 접근했습니다.클릭하면 맬웨어가 웹 브라우저에서 엔드포인트로 다운로드됩니다.일단 완료되면 맬웨어는 공격자에게 백도어 액세스, 명령 및 제어, 데이터 유출 기능을 제공했습니다.
  • 큐봇 봇넷 또한 가지고 있습니다 푸시된 멀웨어 페이로드 암호로 보호된 ZIP 파일이 포함된 피싱 이메일을 통해대상 장치의 이러한 파일에는 악성 MSI Windows 설치 프로그램 패키지 또는 악성 매크로가 포함된 MS Office 문서가 포함되어 있습니다.

이 기술이 위협 행위자들 사이에서 여전히 인기 있는 이유

HP 울프에 따르면, 현재 전체 멀웨어의 42% 가 ZIP 및 RAR과 같은 아카이브 파일로 제공됩니다.HP Wolf의 2022년 3분기 분기 인사이트 보고서에 따르면 “아카이브는 쉽게 암호화되기 때문에 웹 프록시, 샌드박스 및 이메일 스캐너로는 멀웨어를 탐지하기 어렵기 때문에 위협 행위자에게 매력적입니다.”

암호로 보호된 악성 파일을 활용하는 사이버 공격은 다음과 같이 분류됩니다. 고도로 회피적인 적응형 위협 (HEAT).앞서 살펴본 바와 같이 HEAT 공격은 원격 근무와 하이브리드 인력의 증가, 클라우드 마이그레이션, SaaS (Software-as-a-Service) 애플리케이션의 채택이 가속화되면서 발생했습니다.암호로 보호되는 악성 파일과 같은 HEAT 공격은 암호로 보호되는 악성 파일과 같은 오늘날의 탐지 기반 보안 도구를 성공적으로 회피하는 기술을 활용합니다.

또한 HEAT 공격은 지식 근로자가 자주 사용하는 생산성 소프트웨어인 웹 브라우저를 대상으로 합니다.암호로 보호되는 악성 파일은 가장 일반적으로 배포되는 보안 방어 수단을 피할 수 있기 때문에 위협 행위자가 악용적인 페이로드를 성공적으로 전달하고 실행할 수 있도록 합니다.

암호로 보호된 악성 파일을 활용한 공격을 방지하는 방법

암호로 보호된 파일 내에 악의적인 페이로드를 숨기는 공격과 같은 HEAT 공격을 성공적으로 차단하는 조직은 웹 브라우저 활동에 대한 가시성을 제공하고 동적 정책 적용을 적용하여 제로 아워 공격을 방지하는 예방적 보안 기술을 활용할 것입니다.

이것이 이러한 HEAT 공격을 실시간으로 식별하고 방지할 수 있는 유일한 방법입니다.현재의 시그니처 기반 기술로도 알려져 있고 인식되고 있는 이전 세대의 공격 (예: 이메일만을 대상으로 하는 공격) 을 방어하는 것만으로는 이러한 회피 위협에 대해 충분하지 않기 때문입니다.

블로그 카테고리
태그가 지정되었습니다