악성 암호로 보호된 파일: 보안 정책보다 비즈니스 측면의 우선 순위 결정 문제

공격자들은 기업의 사이버 보안 방어를 피하기 위해 지속적으로 새로운 방법을 개발하고 있습니다. 피싱 공격과 악성 소프트웨어 전달이 어떻게 진화하는지를 고려해보겠습니다. 이 경우, 비밀번호로 보호된 파일을 통해 엔드포인트에 감염시키는 것입니다. 이는 모든 조직에게 커다란 위험이 되고 있습니다.

예전에는 대부분의 피싱 공격이 이메일을 통해 이루어졌으며, 이메일은 단일한 커뮤니케이션 채널로서의 지배력을 잃은 요즘이기도 했습니다. 하지만 이제는 이메일이 아닌 다른 커뮤니케이션 채널인 문자, 소셜 미디어 다이렉트 메시징, 협업 도구 등을 향해 공격자들이 점점 더 공격을 시도하고 있습니다. 공격자들은 다양한 소셜 미디어 커뮤니케이션 채널에 접근하고 사회 공학 기술을 개선하는 것뿐만 아니라, 악성 페이로드를 감추기 위해 오래된 하지만 매우 효과적인 회피 기술인 비밀번호로 보호된 파일을 사용하고 있습니다.

공격자들의 목표는 기업이 이메일을 방어하기 위해 구축한 보호 장치인 백신, 콘텐츠 필터 및 시그니처 기반 보안 도구를 피하는 것입니다. 공격자들은 이메일과 다른 커뮤니케이션 채널을 통해 피싱 공격을 전송하고, 암호화를 통해 악성 페이로드를 교묘하게 숨기는 새로운 전달 경로를 찾아내고 있습니다.

악성 암호로 보호된 파일 이란?

공격자들은 흔히 피싱 이메일을 통해 전달되는 비밀번호로 보호된 파일을 사용하여 널리 사용되는 합법적인 파일 형식 내에 페이로드를 난독화합니다. 공격자들은 이러한 파일 내에서 페이로드를 암호화함으로써 전통적인 안티-악성 소프트웨어 엔진과 콘텐츠 필터가 이 악성 콘텐츠를 식별하고 차단하는 것을 훨씬 어렵게 만듭니다. 비밀번호로 보호된 파일에는 악성 페이로드에 감염된 위험이 있음에도 불구하고, 대부분의 조직은 생산성에 큰 영향을 미칠 수 있으므로 이메일 게이트웨이에서 이러한 파일을 차단하지 않기로 결정했습니다.

공격자들이 가장 자주 사용하는 비밀번호로 보호된 파일은 Microsoft Word 및 Excel(Word 문서의 매크로 기능을 비활성화한 후에는 더 일반적으로 사용됨), PDF 파일 및 ZIP 파일입니다.

이러한 공격이 어떻게 작동하는지 살펴보겠습니다.

이메일을 통해 전송되는 겉으로는 무해해 보이는 비밀번호로 보호된 파일이 어떻게 보안 방어를 회피하고 엔드포인트에 감염을 일으키는지 살펴봅시다:

비밀번호로 보호된 파일은 암호화되어 있기 때문에 암호 없이는 접근할 수 없으며, 대부분의 보안 도구는 이러한 파일을 열고 검사할 수 없으므로 읽을 수 없습니다. 이는 전형적인 조직의 보안 방어에 부정적인 영향을 미칩니다. 위협 행위자는 소셜 미디어 메시징이나 이메일을 통해 비밀번호로 보호된 파일을 전송합니다. 이 공격의 사회 공학적인 측면에 신뢰성을 더하기 위해, 공격자는 송신자가 믿을 만한 이름을 사용하여 파일 이름을 설정합니다. 예를 들어, 송장이나 재무 정보와 같은 파일 이름을 사용합니다. 때로는 공격자가 비밀번호로 보호된 파일에 대한 비밀번호를 별도의 통신을 통해 문자 메시지나 이메일로 보내려고 하여 더욱 신뢰성을 높이기도 합니다.

악성 코드가 포함된 비밀번호로 보호된 파일은 다음과 같은 일을 수행합니다:

네트워크나 게이트웨이 보안 방어를 회피

해당 파일은 일반적으로 사용되는 파일 확장자로 암호화되어 있기 때문에 조직은 이 파일이 이메일 게이트웨이를 통과하고 비밀번호를 갖고 있지 않은 보안 샌드박스나 자동 분석 도구를 통해 사용자에게 전달되도록 허용합니다. 이 파일이 네트워크 보안 스캐닝 엔진과 마주칠 경우, 업무 생산성에 대한 우려로 인해 다시 허용되어 최종 사용자에게 전달됩니다.

엔드포인트 감지 회피

피싱 이메일과 첨부 파일은 마침내 엔드포인트에 도달하게 됩니다 신뢰할 수 있는 공급업체인 척하거나 조직의 다른 부서에서 온 사람으로 가장하는 공격자는 일부 사용자를 속여 첨부 파일을 클릭하고 제공된 비밀번호를 입력하게 합니다. 사용자는 문서나 내장된 링크를 클릭하여 웹 브라우저를 실행하고, 이로 인해 엔드포인트가 감염됩니다.

위에서 언급한 대로, 공격자들은 이메일을 건너뛰고 소셜 미디어 채널을 활용하여 피싱 공격을 전달할 수 있습니다. 여기서 공격자들은 소셜 미디어 메시지를 보내고, 웹 브라우저를 실행하고 Box, Dropbox, Google Drive와 같은 외부 저장 서비스로 이동하는 링크를 포함시킵니다. 이 시나리오에서는 악성 비밀번호로 보호된 파일이 자동으로 엔드포인트에 다운로드됩니다. 사용자는 파일을 클릭하고 비밀번호를 입력합니다. 공격은 위에서 설명한 것과 동일하지만, 이메일은 필요하지 않습니다. 전체 공격은 앱과 웹 브라우저 내에서 발생합니다.

비밀번호로 보호된 파일이 공격에서 사용되는 다양한 예시가 있습니다. 몇 가지 예시는 다음과 같습니다:

• 북한의 라자루스 그룹은 이러한 기술을 활용한 공격자의 한 예입니다. 러시아 기관을 공격하던 도중, 그룹은 악성 오피스 문서를 ZIP 파일에 숨겨서 전달했습니다. 표적 사용자는 ZIP 파일을 클릭하고, 사용자들은 정품 워드 문서로 보이는 파일을 엽니다. 해당 문서는 컴퓨터에 감염을 시작하는 매크로를 실행합니다. 미국-CERT에 따르면, 트로이 목마는 기기 구성 데이터에 접근하여 파일을 다운로드하고, 명령을 실행하고, 시스템 레지스트리를 수정하며, 모니터에 표시되는 내용을 스크린샷으로 캡처하고, 데이터를 외부로 유출할 수 있습니다.
• 중국의 국가적 위협 행위자 Earth Preta는 최근 악성 링크가 포함된 스피어 피싱 이메일을 사용한 공격 캠페인을 시작했습니다. 해당 링크는 비밀번호로 보호된 악성 파일을 포함하는 클라우드 저장 공급업체에 액세스합니다. 클릭하면 악성 코드가 웹 브라우저를 통해 엔드포인트로 다운로드됩니다. 이후, 악성 코드는 공격자에게 백도어 액세스, 명령 및 제어, 데이터 유출 기능을 제공합니다.
• Qbot 봇넷은 또한 비밀번호로 보호된 ZIP 파일을 포함한 피싱 이메일을 통해 악성 페이로드를 전달했습니다. 대상 장치의 파일에는 악성 MSI Windows Installer 패키지 또는 악성 매크로가 포함되어 있습니다.

이러한 공격들이 공격자들에게 인기가 많은 이유

HP Wolf에 따르면, 모든 악성코드 중 42%는 ZIP 및 RAR과 같은 아카이브 파일로 전달된다고 합니다. HP Wolf의 2022년 3분기 분기 인사이트 보고서에 따르면, “아카이브 파일은 악성코드를 감지하기 어렵게 만드는 쉽게 암호화할 수 있기 때문에 위협 행위자에게 매력적입니다.”

암호로 보호된 악성 파일을 이용한 사이버 공격은 매우 회피적이고 적응형인 위협(Highly Evasive Adaptive Threats, HEAT)로 분류됩니다. 이전에 언급한 대로, HEAT 공격은 원격 근무 및 혼합 근무 방식의 증가, 클라우드 이전 및 소프트웨어-서비스(SaaS) 응용 프로그램의 가속적인 도입과 관련하여 발생했습니다. 악성 암호로 보호된 파일과 같은 HEAT 공격은 현재의 탐지 기반 보안 도구를 회피하는데 성공하고 있습니다.

또한, HEAT 공격은 직원들의 주요 생산성 소프트웨어인 웹 브라우저를 대상으로 합니다. 암호로 보호된 악성 파일은 위협 행위자가 가장 일반적으로 배포된 보안 방어 기능을 피할 수 있으므로 악성 페이로드를 성공적으로 전달하고 실행할 수 있게 합니다.

악성 암호로 보호된 파일을 이용한 공격을 방지하는 방법

HEAT 공격을 성공적으로 막는 기업은 악성 페이로드를 암호로 보호된 파일 내에 숨기는 공격과 같은 HEAT 공격을 차단하는 예방적인 보안 기술을 활용하는 기업입니다. 이러한 기술은 웹 브라우저 활동을 보이는 것을 가능하게 하고, 동적 정책 강제 적용을 통해 제로아워 공격을 방지합니다.

실시간으로 이러한 HEAT 공격을 식별하고 예방하기 위해서는 이러한 회피적인 위협에 대응하는데 현재의 시그니처 기반 기술로 알려진 이전 세대의 공격을 방어하는 것만으로는 충분하지 않습니다. 예를 들어 이메일에만 주로 표적으로 하는 공격들과 같은 공격들은 현재의 시그니처 기반 기술로 알려지고 인식되는 것에 대한 방어만으로는 부족합니다.