인터넷은 점점 더 이상해지고 사용자 보호는 점점 더 어려워지고 있습니다.하지만 멘로 시큐리티는 계속해서 사용자를 안전하게 보호합니다.
레이더에서 방금 등장한 새로운 위협을 생각해 보십시오. 사용자의 기기를 가로채굴하여 은밀하게 암호화폐를 채굴합니다.우리는 2019년 8월 초에 이 위협을 처음 목격했습니다.이후 30일 동안 64명의 사용자가 보안 침해 사이트를 방문했다가 결국 이들을 암호화폐 채굴 사이트로 리디렉션했습니다.다행스럽게도 악성 코드는 매번 Menlo Security 클라우드 보안 플랫폼의 일회용 컨테이너에 격리되거나 완전히 차단되었습니다 (그림 1).하이재킹에 성공한 기기는 하나도 없습니다.
그림 1: 크립토마이닝 공격의 64개 인스턴스 모두가 멘로 시큐리티에 의해 격리되거나 차단되었습니다.
이 특정 위협은 엔드포인트의 CPU 리소스를 가로채서 코인을 채굴하기 위해 사용하는 일련의 간단한 전술을 사용하기 때문에 특히 위험합니다.공격자들은 취약한 워드프레스 사이트를 침해하고 SEO 중독을 이용해 해당 사이트가 검색결과의 상위에 표시되도록 했습니다.링크를 클릭하면 의심하지 않는 사용자가 보안 침해를 당한 웹사이트로 이동하게 됩니다 (그림 2).그런 다음 코딩된 JavaScript (그림 3) 가 사이트에 iframe (그림 4) 을 주입하고, 이 iframe은 암호화폐 채굴 사이트로 리디렉션됩니다.
그림 2: Google 검색 결과의 악성 링크사용자가 방문한 웹사이트는 빨간색으로 강조 표시됩니다.갈색 텍스트는 웹 사이트의 손상된 디렉터리를 나타냅니다.파란색 텍스트는 사용자가 입력한 검색어입니다.
그림 3: 인코딩된 자바스크립트.
그림 4: 사이트에 iframe이 주입되어 사용자를 swiftmining.win으로 리디렉션합니다.
이 혁신적인 방법은 레거시 보안 웹 게이트웨이 (SWG) 또는 맬웨어 방지 필터와 같은 사이버 보안 솔루션이 공격이 성공하기 전에 공격을 식별하지 못하도록 합니다.대역폭 부족, 성능 저하 등 보안 침해가 성공했을 때 나타나는 증상만 사용자에게 알려지기 때문에 사용자는 추가 조치를 취해 IT를 개입시켜야 합니다.그런 경우에도 이벤트 로그를 주의 깊게 분석해야만 초기 보안 침해를 알 수 있으며, 그때는 이미 늦습니다.
크립토마이닝 공격은 상대적으로 피해자가 없는 것으로 간주되지만 (대부분의 공격은 눈에 띄는 성능 저하를 일으키지 않도록 설계되어 사용자나 IT 부서에 공격에 대해 알리지 않도록 설계됨), 보안 침해가 성공하면 사이버 보안 문제가 더 심각하다는 것을 알 수 있습니다.공격자가 사용자 기기를 장악할 수 있다면 키 입력을 추적하거나 암호를 유출하거나 기업 네트워크의 더 민감한 비즈니스 시스템에 연결하는 다른 악성 코드를 확실히 다운로드할 수 있습니다.
요점: 탐지 및 대응 방법에 의존하는 모든 사이버 보안 솔루션은 실패할 수밖에 없습니다.사실, 실패는 아키텍처에 그대로 녹아 있습니다.최초 침해 발생 후 며칠, 몇 시간 또는 몇 분 후에 식별된 공격은 보안을 손상시키고 조직을 위험에 빠뜨릴 수 있습니다.100% 멀웨어가 없는 이메일과 웹 브라우징을 제공하는 사이버 보안 접근 방식만이 사용자와 조직을 안전하게 보호할 수 있습니다.뭐 이상할 것도 없죠.
멘로의 독특한 아키텍처 접근 방식은 클라우드의 격리된 브라우저에서 웹 페이지를 실행하고 모든 활성 콘텐츠 (JavaScript, Flash) 를 가져와 그곳에서 실행합니다.그런 다음 Menlo는 특허 기술을 사용하여 렌더링된 콘텐츠를 최종 사용자의 컴퓨터에 미러링하여 이러한 취약점을 악용하는 공격을 방지합니다. 권장 전략을 확인해 보세요.보안 웹 액세스가트너와보안 웹 게이트웨이 부문 매직 쿼드런트Menlo가 계속해서 보안 문제에 대한 해답으로 자리매김하는 이유를 알아보십시오.
